Los derechos de los interesados

Con la nueva normativa de protección de datos, los conocidos derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), que tienen los titulares de los datos frente al tratamiento de sus datos por parte de terceros,  sufren algunas modificaciones.

Así, los derechos de los interesados pasan a formularse de la siguiente forma:

Derecho de acceso

El artículo 15 del Reglamento General de Protección de Datos (RGPD) reconoce el derecho de acceso del interesado a sus datos personales. Así, el precitado artículo en su apartado primero establece:

El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:

a) los fines del tratamiento;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;

d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;

e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;

f) el derecho a presentar una reclamación ante una autoridad de control;

g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Como novedad, respecto a la normativa anterior es que se incluye la posibilidad de que el interesado pueda obtener una copia de sus datos personales objeto de tratamiento.

Derecho de rectificación

El artículo 16 del RGPD reconoce el derecho de rectificación que tiene el interesado a pedir al responsable del tratamiento que, sin dilación indebida, rectifique aquellos datos erróneos o inexactos. Así el precitado artículo recoge:

El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

Respecto de este derecho no se producen cambios en relación a la normativa anterior.

Derecho de supresión (Derecho al olvido)

El artículo 17 del RGPD recoge el derecho de supresión, o popularmente conocido como el derecho al olvido, que no es otro derecho que el del borrado o cancelación de los datos en el ámbito online.

Así el artículo 17.1 del RGPD establece:

El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;

b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;

c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;

d) los datos personales hayan sido tratados ilícitamente;

e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;

f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.

Este es un derecho reconocido desde hace tiempo por la jurisprudencia europea, concretamente por el Tribunal de Justicia de la Unión Europea en el caso de Google Spain, y que reconoce el derecho al olvido como “la manifestación de los derechos de cancelación u oposición en el entorno online“.

Derecho a la limitación del tratamiento

El artículo 18 del RGPD reconoce el derecho a la limitación del tratamiento a solicitud del interesado y supone la no aplicación de sus datos personales a determinadas operaciones. Así, el precitado artículo en su primer apartado establece:

El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:

a) el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;

b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;

c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;

d) el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

La situación más habitual en la que puede producirse el ejercicio de este derecho es cuando el interesado no quiere que se utilicen sus datos personales, pero no quiere que se borren porque precisa de esa información, de esos datos, para poder interponer una reclamación o ejercer algún derecho.

Derecho a la portabilidad de los datos

El artículo 20 del RGPD reconoce un nuevo derecho a favor del interesado. El derecho a la portabilidad de sus datos personales que consiste, básicamente, en que el interesado pueda solicitar que sus datos personales se pasen de forma completa y estructurada de un responsable del tratamiento a otro directamente, sin que él tenga que recogerlos de un responsable y llevarlos al nuevo responsable del tratamiento.

Así, el artículo 20.1 del RGPD establece:

El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando

a) el tratamiento esté basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y

b) el tratamiento se efectúe por medios automatizados.

Una situación en la que puede darse el ejercicio de este derecho de forma habitual es ante un cambio de clínica privada por ejemplo, donde el interesado podría solicitar que su historial médico sea enviado directamente desde la antigua clínica a la nueva.

Derecho de oposición

El artículo 21 del RGPD reconoce el derecho de oposición al tratamiento de los datos personales.

Así, el artículo 21.1 del RGPD establece:

El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.

Sobre este derecho no se han producido novedades respecto a la normativa anterior.

¿Qué deben hacer las empresas para adaptarse a la nueva normativa de protección de datos?

Como es bien sabido ya a estas alturas, el próximo 25 de mayo de 2018 entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD) y la nueva LOPD, actualmente en proyecto legislativo (LOPD).

Y la pregunta que se hacen muchas empresas es ¿qué debemos hacer para adaptarnos a la nueva normativa?

Como regla general, las empresas deberán realizar las siguientes tareas para adaptarse al RGPD y nueva LOPD:

  • Designar Delegado de Protección de Datos en los casos en que estén obligadas a contar con esa figura.
  • Elaboración de un Registro de Actividades del tratamiento que incluya la información obligatoria establecida en el RGPD que, entre otra, es: datos identificativos del responsable del fichero y del Delegado de Protección de Datos en caso de que la empresa lo precise, finalidad del tratamiento, descripción del tipo de datos personales tratados, etc.
  • Elaboración de un Análisis de Riesgos. Se trata de realizar una valoración del riesgo de los tratamientos de datos que realiza la empresa, a fin de poder establecer qué medidas de seguridad deben aplicar y cómo deben hacerlo. El tipo de análisis variará en función de: el tipo de tratamiento, la naturaleza de los datos, el número de interesados afectados, la cantidad y variedad del tratamiento llevado a cabo por el cliente.
  • Establecer las Medidas de Seguridad necesarias a la luz del resultado del Análisis de Riesgos.
  • Elaboración de un Protocolo de Notificación de Violaciones de Seguridad. Debe establecerse cómo actuará la empresa y qué pasos seguirá en caso de que se produzca la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.
  • Realizar una Evaluación de Impacto sobre la Protección de Datos. Esta evaluación deberá llevarse a cabo con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.
  • Adecuar los formularios de derechos de información de los titulares de los datos personales que la empresa va a tratar, es decir, redactar los consentimientos informados que deberán firmar los afectados. Con la nueva normativa los consentimientos deben otorgarse de forma expresa.
  • Establecer mecanismos y procedimientos de ejercicio de derechos. Se trata de articular los procedimientos que permitan fácilmente que los interesados puedan acreditar que han ejercido sus derechos de acceso, supresión, limitación, oposición y portabilidad.
  • Adaptación de los contratos con los encargados del tratamiento (proveedores de servicios que tienen acceso a datos personales). Con la nueva normativa aparecen nuevas exigencias y nuevas responsabilidad entre el responsable del fichero y el encargado del tratamiento, por lo que, todos los contratos de prestación de servicios deben adaptarse a las nuevas obligaciones en cuanto a protección de datos se refiere.
  • Revisión y en su caso, redacción de la Política de Privacidad de la web. De acuerdo al nuevo RGPD las políticas de privacidad de las web deben facilitarse por capas. Una primera capa de información básica que debe ir enlazada a una segunda capa de información adicional.
  • Documentar todo lo anterior mediante un Protocolo de Protección de Datos o Documento de Seguridad. Documento que recogerá qué tipos de datos recoge la empresa, qué hace con ellos y qué medidas de seguridad adopta para protegerlos. Se trata de una especie de protocolo de seguridad en relación al tratamiento de datos personales por parte de la empresa.

¿Cambios en los contratos con nuestros proveedores a causa del nuevo Reglamento General de Protección de Datos?

Es sabido que a partir del próximo 25 de mayo, con la aplicación del nuevo Reglamento General de Protección de Datos  se avecinan grandes cambios.

Uno de esos “grandes” cambios son las cláusulas que deberán contener los contratos entre el responsable del fichero y el encargado del tratamiento. Recordemos que el encargado del tratamiento es el prestador de servicio que, en función del servicio que presta, puede tener acceso a datos personales del responsable. Por ejemplo una gestoría laboral, la empresa de hosting, o la empresa que gestiona nuestro CRM.

Hasta la fecha el artículo 12 de la LOPD establecía qué información debía contener el contrato entre el responsable del fichero y el encargado del tratamiento. Información que en la mayoría de casos podía incluirse en una única cláusula dentro del contrato de prestación de servicios. Pero ahora, con el nuevo Reglamento General de Protección de Datos se exige una información mínima que difícilmente podrá incluirse en una única cláusula.

Seguir leyendo

La problemática de la inscripción de los hijos nacidos fuera de España por gestación subrogada

La técnica de la gestación subrogada, o vulgarmente conocida como el uso de un “vientre de alquiler”, es la técnica de reproducción humana asistida consistente en que una mujer, libre y voluntariamente, geste al hijo de un hombre, mujer o pareja y se lo entregue tras el nacimiento, renunciando a cualquier tipo de derecho o deber sobre el menor.

Actualmente en España el uso de esta técnica está prohibido. No obstante, muchos españoles que no pueden gestar a sus hijos ya sea porque son hombres solteros, parejas de hombre o porque la mujer no puede quedarse embarazada o llevar un embarazo a término, deciden acceder a la gestación subrogada fuera de España en países como EEUU, Méjico o Ucrania donde sí está permitido.

El problema aparece en muchos casos cuando se intenta inscribir al menor nacido fruto de una gestación subrogada fuera de España en el Registro Civil Español ya que, en España, por defecto, la madre es la mujer que pare al bebé y que, por tanto, aparece como tal en el certificado de nacimiento emitido por el propio hospital. Esto es así porque la gestación subrogada en España está absolutamente prohibida y, por tanto, nuestra legislación no concibe ni está preparada para considerar que la madre pueda ser otra mujer a la que ha dado a luz al bebé.

Seguir leyendo

Gestación subrogada en Portugal

Hace escasos meses los medios de comunicación se hacían eco de que nuestro país vecino, tras un largo y muy cuestionado debate parlamentario, por fin, aprobaba la gestación subrogada como un medio más para poder concebir.

Así, el pasado agosto de 2017 entraba en vigor en Portugal la Ley número 25/2016, de 22 de agosto de 2016 que regula la técnica de sustitución del embarazo, es decir, la gestación subrogada.

La gestación subrogada o gestación por sustitución, también conocida vulgarmente como “vientre de alquiler”, no es otra cosa que una técnica de reproducción humana asistida mediante la cual una mujer libre y voluntariamente gesta un bebé para otra mujer, hombre o pareja, con expresa renuncia de la gestante de cualquier derecho o deber sobre el nacido.

¿Qué requisitos establece Portugal para poder acceder a la gestación subrogada?

  1. Se requiere que haya ausencia de útero, que éste esté dañado o haya un informe médico que establezca que no hay posibilidad de que pueda llevarse a cabo un embarazo a término y que, por tanto, la única forma de concebir un hijo es mediante la gestación subrogada. Es decir, se trata de una técnica a la que se podrá acceder de forma excepcional y, además, con carácter gratuito.
  2. La gestación subrogada solo podrá llevarse a cabo en centros públicos y privados autorizados por el Ministerio de Sanidad.
  3. En caso de que la gestación subrogada deba llevarse a cabo mediante donación de óvulos, los óvulos donados no podrán ser nunca de la gestante.
  4.  Al menos el óvulo o el esperma deberá ser de uno de los padres de intención o beneficiarios de la gestación subrogada. Esto dejaría fuera del alcance de la gestación subrogada en Portugal a mujeres y hombres solteros cuyos óvulos y esperma no son válidos clínicamente para concebir e incluso a parejas cuyos gametos no sirven para concebir y que aquí en España deberían acudir a la adopción de embriones.
  5. Se precisará, para poder acceder a la gestación subrogada en Portugal, la previa autorización del Consejo Nacional de Procreación Clínicamente Asistida que, se encargará además de supervisar todo el proceso para garantizar que se cumplen todas las garantías.
  6. Queda prohibido expresamente el pago o donación de cantidades económicas o bienes a favor de la gestante. Los padres de intención o beneficiarios de la gestación subrogada únicamente abonarán los gastos del seguimiento médico, el transporte y la medicación que, además, deberán probarse con las correspondientes facturas.
  7. La gestante no podrá tener una relación de subordinación económica ya sea laboral o de prestación de servicios con ninguno de los beneficiarios de la gestación por subrogación. De esta forma se garantiza que la mujer no ha sido obligada o incentivada a ser gestante.
  8. El bebé que nazca, fruto de la gestación subrogada, será considerado hijo directamente de los padres de intención o beneficiarios de la gestación por sustitución. Esto puede ayudar muy mucho a la agilidad del registro de los niños de parejas españolas en el Registro Civil español ya que, si no aparece la gestante en el certificado de nacimiento ni el hecho de que el niño ha sido nacido fruto de esta técnica, se facilitará el acceso del niño al registro. Pero bueno, habrá que ver a la práctica cómo se traduce en el procedimiento ante el Registro Civil del consulado español de Portugal.
  9. El contrato de gestación por sustitución deberá ser por escrito, estar supervisado por el Consejo Nacional de Procreación Clínicamente Asistida y deberá recoger, entre otros aspectos: qué ocurre en caso de malformación en el feto, enfermedad genética y la posibilidad de interrumpir voluntariamente el embarazo. No se podrán incluir cláusulas que vulneren o atenten contra los derechos y libertades de la gestante. Además, se busca regular también la relación entre la gestante y el bebé tras el nacimiento y que ésta relación sea la mínima posible para evitar problemas psicológicos a excepción, como es obvio, de que la gestante sea un familiar cercano en cuyo caso, entre el bebé y ella existirá la relación familiar que corresponda.

La propia ley establece que se castigará con penas de prisión y multas económicas a los participantes en la gestación subrogada que no cumplan con alguno o algunos de los anteriores requisitos.

¿Cómo está funcionando a la práctica la gestación por sustitución en Portugal?

Pues a la práctica, como la entrada en vigor de la ley es de hace escasos seis meses, aún no ha nacido ningún niño fruto de esta técnica en Portugal. Así que habrá que esperar y ver cómo y con qué garantías nuestro país vecino está gestionando esta técnica.

Según he leído en diferentes medios de comunicación, el primer bebé nacido por gestación subrogada en Portugal se espera que sea el de una abuela portuguesa que se ha ofrecido como gestante de su nieto.

Veremos a ver cómo va.

Reclamación de indemnización por daños y perjuicios contra la Administración Pública por vulneración del derecho a la protección de datos

Tengo encima de mi mesa una resolución de la Autoridad Catalana de Protección de Datos que declara culpable a una Administración Pública de haber cometido una infracción muy grave al publicar en su web datos de salud de un empleado y no eliminar la publicación pese a las reiteradas solicitudes de éste. Como es lógico, el ciudadano afectado por esta vulneración de su derecho quiere reclamar una indemnización por los daños y perjuicios sufridos, pero ¿cuál es el problema de este tipo de reclamaciones? El de siempre: cuantificar económicamente el daño causado.

Así que, para poder evaluar qué cantidad aproximada puede reclamarse ante una situación como la que se encuentra mi cliente me he puesto a buscar sentencias dictadas en casos similares y me he llevado desagradables sorpresas. Concretamente dos sentencias me han dejado boquiabierta.

La primera es la Sentencia del Tribunal Superior de Justicia de la Comunidad Valenciana (Sala de lo Contencioso) núm. 1498/2009, de 16 de octubre de 2009.

El actor reclama la cantidad de 140.000 euros por unas declaraciones sobre su salud realizadas por la Administración Pública para la que trabajaba (parte demandada) y que fueron publicadas en medios de comunicación de tirada nacional. En ellas se hablaba de su sordera y de su grado de discapacidad.

Seguir leyendo

Cambios en las Políticas de Privacidad de las páginas web

La entrada en vigor del Reglamento Europeo de Protección de Datos va a suponer a las empresas realizar muchos cambios en cuanto al tratamiento de los datos personales de sus clientes.

Uno de los cambios más llamativos o más visuales es el que van a sufrir las Políticas de Privacidad de las páginas web ya que, el Reglamento Europeo de Protección de Datos exige que el deber de información hacía el titular de los datos sea mucho más completo. De forma que, las empresas deberán cambiar sus cláusulas de protección de datos en los formularios de recogida de datos personales, las políticas de privacidad web, así como, como cualquier otro documento o medio donde se recojan datos personales.

¿Qué información deberá añadirse en las Políticas de Privacidad web?

Hasta la fecha, la Ley Orgánica de Protección Datos de Carácter Personal establecía que en el momento de recoger los datos personales de una persona física se le debía informar de los siguientes extremos (artículo 5):

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Seguir leyendo

Datos personales de una persona fallecida

Hasta la fecha, la normativa española de protección de datos personales no establecía quién podía y qué se podía hacer en relación a los datos personales de una persona fallecida. Nos teníamos que remitir al derecho común. Bueno, mejor dicho “tenemos que” acudir al derecho común ya que, a fecha, es la normativa que por ahora está en vigor.

No obstante, la nueva Ley Orgánica de Protección de Datos, actualmente en proyecto de ley, sí que recoge quién y cómo se pueden gestionar los datos personales de una persona fallecida.

Así, en su artículo 3 se establece:

1. Los herederos de una persona fallecida que acrediten tal condición mediante cualquier medio válido conforme a Derecho, podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.

Como excepción, los herederos no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.

2. El albacea testamentario así como aquella persona o institución a la que el fallecido hubiese designado expresamente para ello también podrá solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de éste y, en su caso su rectificación o supresión.

Mediante real decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de estos mandatos e instrucciones y, en su caso, el registro de los mismos.

3. En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada.

En caso de fallecimiento de personas con discapacidad, estas facultades también podrán ejercerse, además de por quienes señala el párrafo anterior, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo

Seguir leyendo

¿Por fin contaremos con un registro de donantes?

España es uno de los países que más avanza a nivel de técnicas de reproducción humana asistida, sin embargo, a nivel de normativa no solo andamos más que escasos, si no que además, lo poco que se nos exige ni lo cumplimos. Me estoy refiriendo al famoso e inexistente registro de donantes.

La ley 14/2006, de 26 de mayo, sobre técnicas de reproducción humana asistida exige, en su capítulo VII la creación de dos registros:

  • Artículo 21  Registro nacional de donantes
  • Artículo 22  Registro nacional de actividad y resultados de los centros y servicios de reproducción

Sin embargo y pese a que han pasado más de 10 años desde la aprobación de la ley, ninguno de los registros ha sido creado hasta ahora. Es ahora  cuando se empieza a poner en marcha SIRHA (Sistema de Información de Reproducción Humana Asistida).

Seguir leyendo

¿Es legal la publicidad que hacen los influencers a través de las redes sociales?

Con la llegada a nuestras vidas de las redes sociales, también aparece una nueva forma de hacer publicidad y es que las marcas han descubierto una forma de hacer publicidad mucho más selectiva y con un mayor retorno de rentabilidad.

Cualquier usuario de cualquiera de las redes sociales más conocidas actualmente como, por ejemplo, Twitter o Instagram está harto de ver como personajes públicos o con una cierta credibilidad social, los denominados “influencers” (por su influencia en las redes sociales) publicitan productos de marcas que todos sus seguidores acaban viendo.

Esto ha supuesto un cambio en la forma de hacer publicidad ya que, tanto grandes marcas, como marcas más modestas son capaces de publicitar sus productos a un coste inferior a la publicidad habitual (radio, televisión…) y, además, lo hacen dirigiendo esa publicidad al público directo que les interesa.

Un ejemplo sería que una influencer que hable sobre temas de maternidad publicite artículos relacionados con la crianza, los bebés, la salud infantil, etc. Los seguidores de esta influencer van a ser personas interesadas en temas de maternidad y crianza ya que, es de lo que habla habitualmente dicho personaje público, con lo cual, cualquier marca de productos de bebés que la elija para publicitar sus productos se está asegurando que el público al que va dirigido es en su mayor parte personas que pueden estar altamente interesadas en dichos productos y más si el personaje público que lo publicita tiene una cierta credibilidad en el sector.

Seguir leyendo