Protección de datos

Las funciones del Delegado de Protección de Datos (DPO)

La reciente aprobación del Reglamento Europeo de Protección de Datos va a suponer grandes cambios sobre la aplicación de la normativa en materia de protección de datos, uno de estos cambios, es la aparición de una nueva figura: el Delegado de Protección de Datos o DPO por sus siglas en inglés (“Data Protection Officer”).

¿Cuáles son las funciones del Delegado de Protección de Datos (DPO)?

El artículo 39 del Reglamento Europeo de Protección de Datos establece:

a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.

b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.

c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35.

d) cooperar con la autoridad de control.

e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Seguir leyendo

¿Cuándo es obligatorio contratar a un Delegado de Protección de Datos (DPO)?

Tras la reciente aprobación y entrada en vigor del Reglamento Europeo de Protección de Datos, de directa y obligada aplicación dentro de dos años, nos encontramos con algunos cambios significativos a nivel de protección de datos, entre ellos, nos encontramos con la figura del Delegado de Protección de Datos o DPO (sus siglas en inglés – “Data Protection Officer”), figura que no existía hasta la fecha.

Dicha figura viene regulada en los artículos 37 a 39 del precitado Reglamento.

¿Cuándo se tiene que contar con la presencia de un Delegado de Protección de Datos (DPO)?

Según establece el artículo 37.1 del Reglamento Europeo de Protección de Datos:

El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

Así, todos los organismos públicos estarán obligados a contar con la ayuda de un Delegado de Protección de Datos (DPO), eso sí, el Reglamento posibilita que un conjunto de organismos dispongan de un único DPO teniendo en cuenta su estructura organizativa y tamaño.

Seguir leyendo

¿Puedo entrar en la cuenta de Facebook de mis hijos menores de edad?

Los menores de edad tienen reconocido el derecho a la intimidad y privacidad como un derecho fundamental y, además, a partir de los 15 años pueden decidir de forma autónoma (como si de un mayor de edad se tratase) sobre el tratamiento de sus datos personales, es decir, la normativa sobre Protección de Datos les otorga capacidad suficiente para decidir sobre sus datos, en definitiva, sobre su privacidad.

Esto que a priori, no parece ningún problema, puede entrar en colisión con el derecho de los padres a proteger a sus hijos menores de edad.

Prueba de ello, es que en principio los padres no pueden vulnerar el derecho a la intimidad y privacidad de sus hijos menores de edad, pero ¿qué ocurre si hay indicios de que los menores puedan estar siendo víctimas de un delito? ¿puede el padre vulnerar el derecho a la intimidad de su hijo para protegerle?

Esto es lo que ha resuelto el Tribunal Supremo en una reciente sentencia que ha traído cola y para la que hay opiniones dispares.

En el caso resuelto por el Tribunal Supremo, una menor de quince años, estaba siendo acosada sexualmente por un hombre mayor de edad. La hermana de la menor lo intuye porque le parece ver como su hermana pequeña tiene en pantalla a un hombre desnudo, se lo comenta a su madre y esta, utilizando el usuario y contraseña de su hija menor de edad, entra en su perfil de Facebook donde comprueba el acoso que está sufriendo su hija.

Seguir leyendo

¿Puedo utilizar empresas de EEUU para almacenar datos personales?

¿Qué está pasando con las transferencias internacionales de datos a EEUU?

En estos últimos meses, muchos habréis leído u escuchado que ya no podemos almacenar datos personales en programas, servidores…que estén alojados en EEUU (el caso más típico y sobre el que he recibido más consultas es Dropbox).

Esto no es así del todo, paso a explicarme:

Hasta la fecha, para poder almacenar datos personales de nuestros clientes, trabajadores, usuarios, etc. en servidores, empresas, programas…debíamos asegurarnos de que dichos datos personales se quedaban en Europa para cumplir con la ley de protección de datos ya que, la normativa de protección de datos proviene de una Directiva Europea que vincula a todos los Estados miembros, más o menos, en la misma medida (dependiendo de cómo cada Estado haya implantado los requisitos legales mínimos de la Directiva Europea. En el caso de España, actualmente, es de las normativas más restrictivas).

No obstante y pese a lo dicho, cabía la posibilidad de que se almacenasen datos personales fuera de Europa, por ejemplo, en EEUU, siempre y cuando, la empresa donde su fuesen a almacenar estuviese adherida al “Safe Harbor” o “protocolo de puerto seguro”.

Seguir leyendo

¿Puedo comprar o vender una base de datos?

Recientemente, me ha llegado una consulta en relación a la compraventa de bases de datos. Y es que, es muy común iniciar un proyecto en el que se recogen datos personales de usuarios y clientes, consiguiendo finalmente una gran base de datos y que, posteriormente, se quiera sacar provecho económico de la misma, ya sea adquiriéndola o vendiéndola.

Cuando hablamos de comprar o vender una base de datos, en realidad, de lo que estamos hablando es de ceder o comunicar los datos personales de nuestros clientes o usuarios a terceros y, para poder hacer esto, debemos cumplir una serie de requisitos.

Así, para poder ceder o comunicar a terceros los datos personales de nuestros clientes o usuarios es necesario que:

  • Exista consentimiento expreso por parte del titular de los datos.
  • Se le indique al titular de los datos con qué finalidad se van a ceder sus datos.

Seguir leyendo

¿Cuándo puedo enviar correos comerciales?

Una de las situaciones más comunes que me encuentro a la hora de adaptar empresas a la normativa de protección de datos, es que éstas suelen tener como práctica habitual enviar correos comerciales, sobre sus productos y servicios, a otras empresas o personas físicas que consideran que pueden llegar a ser clientes potenciales y, la pregunta es ¿pueden hacerlo?

¿Las empresas pueden enviar correos comerciales a otras empresas y/o personas físicas?

La respuesta es no, salvo que, los correos comerciales se envíen a empresas o personas físicas que ya son clientes, aunque estos no hayan consentido expresamente el uso de sus datos para el envío de correos comerciales.

Así lo establece el artículo 21 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI):

Artículo 21 Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes

1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Seguir leyendo

Delegado de Protección de Datos (DPO)

El Data Protection Officer (DPO) o Delegado de Protección de Datos (su traducción al castellano) es la nueva figura contemplada en la propuesta del Reglamento del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos (Reglamento General de Protección de Datos).

Dicho Reglamento Europeo de Protección de Datos, que será de aplicación directa para todos los estados miembros de la Unión Europea, aun no ha sido aprobado, pero todo parece indicar que cuando lo haga (prevista su aprobación para el 2016) lo hará contando con la figura del Delegado de Protección de Datos que vendrá a ser semejante a la del Responsable de Seguridad, que tenemos actualmente.

¿Dónde se regula la figura del Delegado de Protección de Datos (DPO)?

La figura del DPO viene recogida en los artículos 35 a 37 de la propuesta de Reglamento General de Protección de Datos.

¿Cuándo será obligatorio contar con un Delegado de Protección de Datos (DPO)?

Será obligatorio designar un Delegado de Protección de Datos (DPO) en los siguientes casos:

Seguir leyendo

¿Qué textos legales debe tener mi página web?

textos legalesAlgunas de las preguntas que nos hacemos cuando tenemos una página web son ¿necesito textos legales para mi web? ¿qué textos legales necesito? ¿dónde debo colocarlos?

A través de este artículo vamos a dar respuesta a esta y otras preguntas sobre los textos legales que necesita una web, su contenido y dónde deben ser colocados.

En primer lugar, la respuesta a si una página web necesita textos legales es sí, cualquier tipo de página web, aunque sea meramente informativa, necesita un Aviso Legal (o facilitar un mínimo de información).

Aviso Legal

El aviso legal es el texto legal que debe tener cualquier página web y que debe contener los datos identificativos del titular de la misma. Así, de conformidad con el artículo 10 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), cualquier página web debe informar, como mínimo de:

Seguir leyendo

Anonimato de los donantes de gametos (óvulos y esperma)

Una persona de mi entorno más cercano ha donado en un par de ocasiones óvulos, con la única finalidad de ayudar a madres que por problemas de fertilidad no pueden tener hijos de forma natural, y lo curioso es, que me ha hecho preguntas como ¿la pareja que recibe el óvulo pueden llegar a saber quien soy? ¿cuántas veces puedo donar? ¿el niño que nazca puede llegar a saber quien soy?

Estas preguntas, que me han parecido muy interesantes, me han obligado a estudiar el tema de la regulación de la reproducción humana asistida en España y me gustaría, por si alguien lo encuentra de interés, compartir la información que he recopilado sobre el anonimato de los donantes de gametos (óvulos y esperma) y la confidencialidad que debe regir en todo el proceso.

¿Dónde está regulado el anonimato de los donantes de óvulos y esperma?

La regulación del anonimato de los donantes de óvulos y esperma (gametos) viene recogido en el artículo 5 de la Ley 14/2006, de 26 de mayo, sobre técnicas de reproducción humana asistida.

Seguir leyendo

¿Qué es el documento de seguridad de la LOPD? Contenido y Modelo

El Documento de Seguridad es el documento que deben tener todas las empresas/profesionales que deben cumplir con la LOPD.

Las empresas que deben cumplir con la LOPD son todas aquellas que recojan datos personales de personas físicas (trabajadores, clientes, cámaras de videovigilancia…). Y, en este sentido, el Documento de Seguridad debe recoger las medidas de seguridad de la empresa respecto de los datos personales que trata.

¿Es obligatorio tener un documento de seguridad?

Siempre que recojamos y tratemos datos personales de personas físicas, estaremos obligados a cumplir con la LOPD y, en ese caso, estaremos obligados a disponer de un documento de seguridad.

Por tanto, una de las obligaciones básicas para cumplir con la normativa de protección de datos es disponer de un documento de seguridad. En definitiva, sí es obligatorio disponer de un documento de seguridad.

Seguir leyendo