¿Cuándo es obligatorio contratar a un Delegado de Protección de Datos (DPO)?

Tras la reciente aprobación y entrada en vigor del Reglamento Europeo de Protección de Datos, de directa y obligada aplicación dentro de dos años, nos encontramos con algunos cambios significativos a nivel de protección de datos, entre ellos, nos encontramos con la figura del Delegado de Protección de Datos o DPO (sus siglas en inglés – «Data Protection Officer»), figura que no existía hasta la fecha.

Dicha figura viene regulada en los artículos 37 a 39 del precitado Reglamento.

¿Cuándo se tiene que contar con la presencia de un Delegado de Protección de Datos (DPO)?

Según establece el artículo 37.1 del Reglamento Europeo de Protección de Datos:

El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

Así, todos los organismos públicos estarán obligados a contar con la ayuda de un Delegado de Protección de Datos (DPO), eso sí, el Reglamento posibilita que un conjunto de organismos dispongan de un único DPO teniendo en cuenta su estructura organizativa y tamaño.

Seguir leyendo

¿Puedo utilizar empresas de EEUU para almacenar datos personales?

¿Qué está pasando con las transferencias internacionales de datos a EEUU?

En estos últimos meses, muchos habréis leído u escuchado que ya no podemos almacenar datos personales en programas, servidores…que estén alojados en EEUU (el caso más típico y sobre el que he recibido más consultas es Dropbox).

Esto no es así del todo, paso a explicarme:

Hasta la fecha, para poder almacenar datos personales de nuestros clientes, trabajadores, usuarios, etc. en servidores, empresas, programas…debíamos asegurarnos de que dichos datos personales se quedaban en Europa para cumplir con la ley de protección de datos ya que, la normativa de protección de datos proviene de una Directiva Europea que vincula a todos los Estados miembros, más o menos, en la misma medida (dependiendo de cómo cada Estado haya implantado los requisitos legales mínimos de la Directiva Europea. En el caso de España, actualmente, es de las normativas más restrictivas).

No obstante y pese a lo dicho, cabía la posibilidad de que se almacenasen datos personales fuera de Europa, por ejemplo, en EEUU, siempre y cuando, la empresa donde su fuesen a almacenar estuviese adherida al «Safe Harbor» o «protocolo de puerto seguro».

Seguir leyendo

Delegado de Protección de Datos (DPO)

El Data Protection Officer (DPO) o Delegado de Protección de Datos (su traducción al castellano) es la nueva figura contemplada en la propuesta del Reglamento del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos (Reglamento General de Protección de Datos).

Dicho Reglamento Europeo de Protección de Datos, que será de aplicación directa para todos los estados miembros de la Unión Europea, aun no ha sido aprobado, pero todo parece indicar que cuando lo haga (prevista su aprobación para el 2016) lo hará contando con la figura del Delegado de Protección de Datos que vendrá a ser semejante a la del Responsable de Seguridad, que tenemos actualmente.

¿Dónde se regula la figura del Delegado de Protección de Datos (DPO)?

La figura del DPO viene recogida en los artículos 35 a 37 de la propuesta de Reglamento General de Protección de Datos.

¿Cuándo será obligatorio contar con un Delegado de Protección de Datos (DPO)?

Será obligatorio designar un Delegado de Protección de Datos (DPO) en los siguientes casos:

Seguir leyendo

Indemnización por el uso indebido de datos personales

descarga

¿Qué es y qué protege el derecho a la protección de datos?

El derecho a la protección de nuestros datos personales, es un derecho fundamental que tenemos todos los ciudadanos, al igual que lo es el derecho al honor, la intimidad y el derecho a la propia imagen y, como tal derecho, está altamente protegido ya que,  su vulneración conlleva graves consecuencias para el afectado.

El derecho a la protección de datos, como su propio nombre indica, es el derecho que tienen las personas físicas a proteger sus datos personales (nombre, imagen, voz, teléfono, dirección postal, correo electrónico, etc.). Así, debe entenderse como dato personal, cualquier dato que pueda identificar a una persona. Tanto es así, que está en discusión continua si una dirección IP es un datos de carácter personal o no. Seguir leyendo

¿Cómo ejercer mi derecho al olvido en Internet?

borrar-rastro-internetDespués de que el pasado 13 de mayo de 2014 se dictase, por parte del Tribunal de Justicia de la Unión Europea, sentencia en la que se reconoce el llamado «derecho al olvido» y que es el derecho que tiene cualquier persona a que sus datos desaparezcan de Internet, muchos ciudadanos han preguntado o se han interesado por cómo pueden ejercer este derecho para que sus datos sean borrados de la red.

Para ejercer el derecho al olvido se puede:

Solicitar la eliminación de información al buscador

Para borrar nuestro rastro de Internet, tras la publicación de la precitada sentencia, podemos dirigirnos directamente al buscador que tenga indexada la información que queremos borrar y solicitárselo. Seguir leyendo

Protección de los datos de salud

Los datos relativos a la salud son datos especialmente protegidos por la normativa sobre protección de datos, especialmente, por la  Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD).

¿Qué es un dato de salud?

Las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. Así, viene definido en el apartado 45 de la Memoria Explicativa del Convenio 108 del Consejo de Europa.

Hay que tener en cuenta que para que un dato de salud sea protegido por la normativa sobre protección de datos de carácter personal, precisa que ese dato de salud pueda asociarse a una persona física. Si no puede asociarse, no es de aplicación la normativa sobre protección de datos de carácter personal.

No obstante, y a modo de ejemplo, señalar que el número de la tarjeta sanitaria es dato de salud.

¿Cómo puedo recoger un dato de salud?

Para recoger cualquier dato relativo a la salud se precisa el consentimiento previo, informado y expreso del afectado, salvo que: se trate de dar asistencia a un paciente que acude a un centro médico (público o privado) para que le atiende un profesional sanitario sujeto al secreto profesional,. En este caso, se entiende que el paciente consiente el tratamiento de sus datos y no es preciso el consentimiento expreso, no obstante, se le deberá facilitar información respecto a qué se va a hacer con sus datos (Artículo 8 de la LOPD)

El consentimiento expreso puede ser verbal, pero siempre es mejor tenerlo por escrito, para poder probarlo.

¿Cómo deben protegerse los datos de salud?

Como hemos dicho anteriormente, los datos de salud son datos de carácter personal especialmente protegidos, por lo que, las medidas de seguridad que deberán adoptarse son las de nivel alto (artículos 101 y siguientes del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento que desarrolla la LOPD)

Cuando decimos que un dato de carácter personal debe ser protegido por medidas de seguridad de nivel alto, queremos decir, que deben ser protegidos por las medidas de seguridad de todos los niveles: básico, medio y alto ya que, las medidas de seguridad son acumulativas.

¿Un menor puede consentir el tratamiento de sus datos de salud?

Los menores pueden consentir el tratamiento de sus datos a partir de los 14 años si su madurez es suficiente como para entender qué implica su consentimiento al respecto.

En esto casos, para no tener problemas en materia de cumplimiento de la LOPD, lo ideal sería recabar el consentimiento tanto del menor como de su representante legal, pero legalmente es suficiente con el consentimiento del menor maduro y mayor de 14 años.

¿Puedo ejercer los derechos de acceso, rectificación, cancelación  y oposición (ARCO) de mis datos de salud?

Como cualquier otro dato de carácter personal, el afectado puede ejercer los derechos ARCO, siempre y cuando, lo haga él mismo o persona autorizada por él, junto a la fotocopia del DNI del afectado.

Hay que tener en cuenta que el paciente que ejerce el derecho de cancelación sobre sus datos de salud, no está haciendo que desaparezcan. Lo único que se hace es guardarlos en otro lugar al que solo pueden acceder personas autorizadas expresamente (esconderlos en otro lugar) ya que, legalmente, hay un  plazo de custodia respecto a los datos de salud, que será de 5 o 15 años dependiendo de los datos que aparezcan en el historial clínico del paciente, por lo que, el centro sanitario no puede destruirlos hasta pasado el plazo de custodia establecido legalmente.

Por último, señalar que las sanciones que impone la Agencia Española de Protección de Datos, sobre el incumplimiento de la protección de los datos de salud, son muy elevadas ya que, se trata de información sensible.

La implantación de «Cookies» en relación a la protección de datos

Las Cookies son sistemas temporales de almacenamiento de información que permiten a un sitio web guardar y recoger datos de los usuarios a través del ordenador del propio usuario. No tienen por que ser datos relativos al nombre y dirección de la persona o usuario, sino que, mas bien, está enfocado a la recogida de datos relativos a las preferencias de ese usuario.

Entre otras funciones, las denominadas Cookies pueden ser utilizadas para crear un perfil del usuario a través de su navegación y así, poder mostrarle publicidad a medida en otras sitios webs.

La normativa que permite este tipo de sistemas viene recogida en:

Seguir leyendo

Responsabilidad del titular de una página web respecto a los comentarios de los usuarios

Una de las principales preocupaciones del titular de una página web, es su responsabilidad  frente a los comentarios  o manifestaciones que viertan los usuarios de la web en la misma.

A este respecto, la normativa y nuestros más altos Tribunales han establecido que, en principio, los titulares de las páginas web (o prestadores de servicios de la sociedad de la información) no son responsables de los contenidos que los usuarios introduzcan en las páginas web (artículos 14 y 15 de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, sobre el comercio electrónico)

No obstante, deben tenerse en cuenta algunas apreciaciones y es que, para que, efectivamente, el titular de una página web no sea responsable de los contenidos que introduzcan los usuarios en la misma, éste debe cumplir con unos mínimos requisitos (artículo 16 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico): 

Seguir leyendo

¿Una dirección IP es un dato de carácter personal?

Una dirección IP (Internet Protocol) es una sucesión numérica ordenada de forma jerárquica y lógica que identifica la conexión de un dispositivo electrónico a una red. Dicho de otra forma, es la dirección de nuestro ordenador en internet.

La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de fecha 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento
de datos personales y a la libre circulación de estos datos, define el dato personal como (artículo 2 a):

Seguir leyendo