Saltar als continguts principals.

El comercio electrónico y la nueva LOPDGDD: desarrollo del RGPD en nuestro ordenamiento jurídico (2a parte)

25/06/2019

(Podeu consultar la primera part de l'article fent clic aquí)


SUMARIO (2a parte)

3.7. Tratamientos concretos (arts. 19 a 27 LOPDGDD).

3.8 Obligaciones generales del responsable de tratamiento y del encargado de tratamiento (art. 25 a 31 RGPD y 28 a 32 LOPDGDD).                                    

3.9. Elección y contrato con los encargados de tratamiento.                                     

3.10. La notificación de violaciones de seguridad (art. 33 y 34 RGPD).                             

3.11.  Herramientas que deberán aplicar todos los responsables y encargados de tratamiento.

  • 3.11.1. El delegado de protección de datos.                                                       
  • 3.11.2. Herramientas                                                                                 

3.12. Transferencia internacional de datos                                                            

3.13. Régimen sancionador.

4. Estado de cumplimiento.                                                                               

  

_________________________________________________

 

3.7. Tratamientos concretos (arts. 19 a 27 LOPDGDD).

La LOPGDD establece una serie de tratamientos que serán lícitos si se dan determinadas condiciones, entre estos encontramos:

  1. El tratamiento de datos de contacto, empresarios individuales y profesiones liberales (art. 19 LOPDGDD).
  2. El tratamiento de datos de sistemas de información crediticia (art. 20 LOPGDD).
  3. Los tratamientos relacionados con la realización de determinadas operaciones mercantiles (art. 21 LOPGDD).
  4. Los tratamientos con fines de videovigilancia (art. 22 LOPGDD).
  5. Sistemas de exclusión publicitaria (art. 23 LOPGDD).
  6. Sistemas de información de denuncias internas (art. 24 LOPDGDD).
  7. Tratamiento de datos en el ámbito de la función estadística pública (art. 25 LOPDGDD).
  8. Tratamiento de datos con fines de archivo en interés público por parte de las Administraciones Públicas (art. 26 LOPDGDD).
  9. Tratamiento de datos relativos a infracciones y sanciones administrativas (art. 27 LOPDGDD).

De todo estos tratamientos, el que afecta directamente a los contratos electrónicos es el establecido en el art. 23 LOPGDD, es decir, los sistemas de exclusión publicitaria.

En este sentido, en el caso de que un interesado manifieste a un RT o a un ET su voluntad de que sus datos no sean tratados para remisión de comunicaciones comerciales, el RT o el ET deberá informarle de los sistemas de exclusión publicitaria existentes, pudiendo remitirse a la información publicada por la autoridad de control competente.  Es por ello, que si un usuario nos solicita que no se le envié publicidad comercial expresamente (por ejercitar el derecho de oposición a dicho tratamiento en concreto) deberemos informar de la existencia de la Lista Robinson, gestionado por la Asociación de Economía Digital (a partir de este momento ADIGITAL), y sería recomendable remitirles el link de la propia A.E.P.D. sobre sistemas de exclusión publicitaria: https://www.A.E.P.D..es/areas/publicidad/index.html

3.8. Obligaciones generales del responsable de tratamiento y del encargado de tratamiento (art. 25 a 31 RGPD y 28 a 32 LOPDGDD).

Tanto el RGPD como la LOPDGDD no establece medidas concretas que deberán adoptar los RT y los ET para cumplir con la normativa en materia de protección de datos. Lo que si establece es la siguiente máxima:

El responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas. Dichas medidas se revisarán y actualizarán cuando sea necesario.

Por tal de dar unas líneas o bases mínimas de actuación por parte de los RT y ET, entre otras que debieran aplicar encontramos:

  • Disponer de un procedimiento para el ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación en el tratamiento y portabilidad.
  • Disponer de un procedimiento de notificación de incidencias a la A.E.P.D. y a los interesados, en caso necesario.
  • Interponer la pertinente denuncia ante las autoridades y cuerpos de seguridad.
  • Establecer un mecanismo de información al interesado en caso de perdida de datos de categoría especial.
  • Disponer de dispositivos SAI para el caso de fallo en el suministro eléctrico.
  • Efectuar semanalmente copias periódicas de respaldo de los datos.
  • Comprobación semestralmente de la fiabilidad de las copias periódicas.
  • Reconstrucción de datos a partir de la última copia. Grabación manual en su caso, si existe documentación que lo permita. Mínimo una copia semanal.
  • Inventario de soportes, de tal manera que se identifique de forma sencilla los datos en él contenidos, siempre velando por la anonimización de los datos.
  • Almacenar en dos ubicaciones diferentes el disco duro externo, pen, nube... en que se guardan las copias de seguridad.
  • La segmentación de la red: que solo pueda acceder a los datos de carácter personal determinados departamentos.
  • Procedimiento de asignación y distribución de contraseñas en los dispositivos de los usuarios autorizados.
  • Cambio de contraseñas mínimo cada año. Obligación de que la contraseña disponga de mayusculas, minúsculas, números y signos de puntuación, así como un mínimo de 6 caracteres, aunque se recomiendan contraseñas de 8 caracteres.
  • Seudonomización. Se recomienda asignar una numeración que impida la identificación directa del dato de la persona que se va a tratar.
  • Utilizar software propietario con las debidas licencias o bien software libre. En ambos casos actualizar a la última versión operativa disponible.
  • Utilizar sistemas operativos actualizados a la última versión disponible.
  • Disponer de un antivirus, y este debe estar actualizado.
  • Disponer de una red vpn para la conexión a Internet.
     
  • Limitar el uso de aplicaciones no necesarias para el uso o tratamiento.
  • Concesión de permisos de acceso solo por personal autorizado a las zonas donde se encuentren dispositivos de almacenamiento de datos de carácter personal.
  • Comprobación semestralmente de la fiabilidad de las copias periódicas.
  • Reconstrucción de datos a partir de la última copia. Grabación manual en su caso, si existe documentación que lo permita.
  • Control de accesos a zonas de almacenamiento de soportes no automatizados que contengan datos de carácter personal mediante la restricción de acceso por usuarios de tratamiento.
  • Establecimiento de medidas de protección que impidan el acceso directo a soportes no automatizados que contengan datos de carácter persona (armarios con llaves solo a disposición de determinados usuarios).
  • Establecer un mecanismo de información al interesado en caso de perdida de datos de categoría especial.
  • Disponer de contrato con el ET que habilite a este a efectuar el tratamiento.

En todo caso, estas medidas no son excluyentes de otras que se pudieran aplicar.

3.9 Elección y contrato con los encargados de tratamiento.

El encargado de tratamiento lo define el Art. 4 del RGPD como: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Además viene regulada dicha figura en el Art. 28 del RGPD.

El RT únicamente escogerá un encargado de tratamiento que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas que garanticen el cumplimiento del RGPD y garantice la protección de derechos del interesado.

Para que el ET pueda recurrir a otro encargado (subcontrate), únicamente podrá hacerlo con autorización previa del RT por escrito.

El tratamiento por el encargado se regirá por un contrato por escrito que establecerá:

  • objeto y duración del contrato
  • naturaleza y fines del tratamiento
  • tipos de datos personales
  • categorías de los interesados
  • obligación de seguir instrucciones del responsable salvo excepción legal
  • garantías de confidencialidad de su personal
  • medidas de seguridad
  • medidas si se prevé su subencargo: disponer de autorización previa, por escrito, específica o general.
  • compromiso de colaborar con el responsable para la satisfacción ed derechos de los ciudadanos
  • destino de los datos cuando finalice relación; devolver o suprimir, salvo que el derecho de la UE obligue a conservarlos.
  • Puesta a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el art. 28, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

Debe mediar también contrato entre encargado y subencargado.

3.10. La notificación de violaciones de seguridad (art. 33 y 34 RGPD).

El art. 33 y 34 del RGPD establece la obligación de establecer un procedimiento para notificar las quiebras de seguridad a la Autoridad de Control y a los interesados.

¿Qué es una quiebra de seguridad? Cualquier incidente que provoque la destrucción, pérdida, modificación ilícita, comunicación o acceso no autorizado a los datos personales,  por ejemplo: pérdida de un ordenador portátil con datos personales, de un pen, envío de un e-mail a un tercero no autorizado con datos personales, borrado de datos personales…

Notificación a la A.E.P.D.

Se deberá notificar a la A.E.P.D. sin dilación indebida, y en el plazo máximo de 72 horas desde que se haya tenido constancia de la misma. Excepción: a menos que sea improbable que constituya un riesgo para los derechos o libertades de las personas físicas.

Si no se notifica dentro del plazo máximo de 72 horas, se deberá indicar el motivo de la dilación.

Dentro del mismo plazo, notificará el ET las posibles violaciones de seguridad.

La notificación contemplará como mínimo:

  1. La naturaleza de la violación (por ejemplo; robo de un ordenador, borrado de datos por entrada de virus...), y cuando sea posible las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados; (nombres, apellidos, dnis...), (clientes, contactos, proveedores, trabajadores...)
  2. comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
  3. describir las posibles consecuencias de la violación de la seguridad de los datos personales;
  4. describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales ( por ejemplo: recuperación de datos personales a través de las copias de seguridad) y para revertir posibles efectos negativos (contratación de un seguro en materia de protección de datos que indemnice los daños morales, físicos o materiales que se hayan producido)

Todo ello deberá estar documentado y a la disposición de la A.E.P.D.

Notificación al interesado

Si la violación de seguridad entraña un alto riesgo para el afectado se deberá notificar al propio interesado esta violación de seguridad. ( por ejemplo, si roban un ordenador sin contraseña y se puede acceder a datos personales los afectados, incluso a copia de documentación de los mismos como pudieran ser documentos identificativos, números de tarjetas de crédito... es obvio que existe un riesgo alto de robo, usurpación de identidad etc...)

Exención de la obligación de notificar al interesado:

  • cuando el riesgo no sea alto
  • los datos sean ininteligibles mediante cifrado u otra técnica
  • responsable de tratamiento ha tomado medidas ulteriores que desvirtúen el alto riesgo para derechos y libertades del interesado
  • suponga un esfuerzo desproporcionado, optándose en este caso por una comunicación pública o medida semejante

Plazo de comunicación: sin dilación indebida

En la comunicación, además de describir la naturaleza de la violación de seguridad, deberán incluirse recomendaciones para que la persona física afectada mitigue los potenciales efectos adversos: por ejemplo, que interponga la correspondiente denuncia, que bloquee sus tarjetas.

3.11. Herramientas que deberán aplicar todos los responsables y encargados de tratamiento.

Las principales herramientas que todo RT y ET deberá cumplir, vienen establecidas por el propio RGDP y LOPDGDD. En todo caso, en primer lugar y antes de definir las mismas, los RT y ET deberán valorar la necesidad de designar un delegado de protección de datos (DPD).

3.11.1. El delegado de protección de datos.

Un delegado de protección de datos es la persona con conocimientos especializados en protección de datos personales que controla el cumplimiento de la normativa de protección de datos.

Según el RGPD únicamente será obligatoria su designación cuando (artículos 37 a 39 del RGPD):

  • El tratamiento lo realiza una autoridad u organismo público. (los tribunales que actúan en el ejercicio de su función judicial NO)
  • Cuando las actividades consisten en operaciones de tratamiento que requieren el seguimiento regular y sistemático de los interesados a gran escala. Por ejemplo, elaboración de perfiles para marketing digital en el que se ven afectados más de 1000 personas.
  • Cuando las actividades consisten en el tratamiento a gran escala de categorías especiales de datos (ideología          u opiniones políticas, afiliación sindical, religión u opiniones religiosas, creencias o creencias filosóficas, origen étnico o racial, datos relativos a salud, vida sexual u orientación sexual, datos de violencia de género y malos tratos, datos biométricos, datos genéticos que proporcionan una información única sobre la fisiología o la salud del identificado obtenidas del análisis de una muestra biológica, datos solicitados para fines policiales sin      consentimiento de las personas afectadas, datos relativos a condenas y delitos penales.)

No obstante ello, el RGPD deja abierta la posibilidad de que la normativa interna de los Estados Miembros de la Unión Europea establezcan la obligatoriedad de designar un DPO cuando se den otras circunstancias, por lo que se deberá estar a la normativa interna de nuestro país.

Es por ello que, según lo dispuesto en el arts. 34.d de la LOPGDD será obligatorio la designación del DPD cuando:

<< Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio>> .

Problema: ¿qué se entiende por gran escala? Es un concepto jurídico indeterminado, y por ahora la A.E.P.D. nos remite a las directrices del Grupo de Trabajo 29 que establece en sus directrices 248 sobre evaluación de impacto de protección de datos se han de tener en cuenta los siguientes factores:

·  El número de sujetos afectados, ya sea como número específico o como proporción de un conjunto de población;

·   El volumen de datos y / o el rango de diferentes tipos de datos que se están tratando;

·   La duración o permanencia de la actividad de tratamiento de datos;

·   La extensión geográfica del tratamiento.

Por otra parte, en el Considerando 91 RGPD se habla ya de operaciones de tratamiento a gran escala:

que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos.

Por ende, y para curarnos en salud, si nos encontramos ante tratamiento efectuados por razón del comercio electrónico, recomendamos que se designe un delegado de protección de datos, aunque se deberá estar al criterio señalado anteriormente.

Tomada la decisión de disponer de los servicios de un delegado de protección de datos deberemos tener en cuenta que:

Los RT y los ET deben comunicar a la A.E.P.D. o a las autoridades autonómicas en el plazo de 10 días las designaciones, nombramientos y ceses de los delegados de protección de datos. Las autoridades de control mantendrán un listado actualizado de los mismos (art. 34 LOPDGDD). En el marco de servicios de comercio electrónico, la notificación se efectuará ante la A.E.P.D.

En cuanto a la cualificación de dichos DPD, uno de los criterios establecidos será la existencia de mecanismo voluntarios de certificación que tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos, aunque no será el único criterio (art. 35 LOPGDD).

Las obligaciones de este delegado de protección de datos son las siguientes (art.  37 a 38 RGDP y 36 a 37 LOPDGDD)

  1. actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos.
  1. inspeccionará los procedimientos relacionados con el objeto de la presente ley orgánica y emitir recomendaciones en el ámbito de sus competencias.
  1. No podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio, cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento.
  1. Se garantizará la independencia del delegado de protección de datos dentro de la organización, debiendo evitarse cualquier conflicto de intereses.
  1. En el ejercicio de sus funciones el delegado de protección de datos tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto, incluyendo el previsto en el artículo 5 de esta ley orgánica. Cuando el delegado de protección de datos aprecie la existencia de una vulneración relevante en materia de protección de datos la documentará y la comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento.

Entramos entonces a evaluar cada una de las herramientas que establece el RGPD para la evaluación de los riesgos:

3.11.2. Herramientas[1].

EL RGPD establece TRES HERRAMIENTAS para realizar el tratamiento de los riesgos anteriormente identificados en función del tipo de datos personales que se trata:

  1. Análisis de riesgos y gestión de riesgos por defecto.
  1. Registro de actividad como responsables de tratamiento y como encargados de tratamiento.
  1. Evaluación de impacto.

i. Análisis de riesgos y gestión de riesgos por defecto

Será la herramienta que se utilizará en actividades de tratamiento de baja exposición al riesgo.

a) ¿cómo hacer el análisis básico de riesgos?: Realizando un CICLO DE VIDA de los procesos de tratamiento de datos, que contendrá estos DOS PASOS:

Paso 1: Análisis global de las actividades de tratamiento

En esta etapa lo que buscamos es analizar de forma genérica/global todas las actividades a las que vamos a someter los datos de carácter personal. Dividimos estas actividades en las siguientes fases:

  • Captura de datos. El responsable de tratamiento ha de preguntarse qué técnica le permite obtener los datos de carácter personal de los interesados, como por ejemplo, formularios en papel o formularios web, realización de encuestas, redes sociales…
  • Clasificación/Almacenamiento. Los RT deberán asignar categorías a los datos de carácter personal para su posterior almacenamiento en sus sistemas o archivos. Por ejemplo: clientes, proveedores, trabajadores…
  • Uso/Tratamiento. Conjunto de operaciones realizadas sobre los datos personales o conjuntos de datos personales, ya sea mediante uso de dispositivos electrónicos (ordenadores, teléfonos móviles, tablets, etc) que denominaremos medios automatizados; ya sea mediante procedimientos de datos manuales. Por ejemplo: utilizar los datos para elaborar un contrato, para enviar publicidad, para emitir facturas…
  • Cesión o transferencia de los datos a un tercero para su tratamiento. Traspaso o comunicación de datos por parte del RT realizada a un tercero ya sea persona física o jurídica. Ejemplos: enviar facturación al gestor/contable; informático externo al RT...
  • Destrucción. Como última etapa en los procesos de tratamiento de los datos de carácter personal, deberán utilizar mecanismos que impidan recuperar de los soportes de almacenamiento los archivos o sistemas  que contengan datos de carácter personal. Ejemplo: eliminar los datos de carácter personal contenidos en un disco duro de manera que sea imposible su recuperación.           

Paso 2: Clasificación de los elementos involucrados en las actividades de tratamiento:

En esta etapa lo que buscamos es clasificar cada uno de los instrumentos que utilizamos para efectuar las actividades de tratamiento explicadas anteriormente:

  • Actividades u operaciones. Por ejemplo, en la captura de datos: formulario en papel, web… Por ejemplo en la destrucción: programa utilizado para eliminar definitivamente los datos…
  • Datos: Identificar los datos de carácter personal que van a ser tratados. Ej. Nombre y apellidos, domicilio, teléfono de contacto.
  • Intervinientes. Obligación de identificar las personas físicas o jurídicas que, de manera individual o colectiva, están implicadas en el desarrollo de las actividades del tratamiento de los datos de carácter personal. Por ejemplo: el responsable, el interesado, el encargado de tratamiento…
  • Tecnología. Obligación de identificar los dispositivos/soportes/sistemas tecnológicos que intervienen en el tratamiento de datos de carácter personal. Ej. Ordenadores personales, tablets, teléfonos móviles,  etc.

b) ¿cómo hacemos una gestión de riesgos por defecto?

Una vez realizado el ciclo de vida de los datos personales en los cuales hemos establecido las actividades de tratamiento que se van a efectuar, y hemos identificado los datos a tratar, las personas que van a intervenir, y las tecnologías que intervienen, hemos de preguntarnos a qué riesgos nos enfrentamos. Para ello, y cuando estamos ante datos de carácter personal de bajo nivel de protección como son los datos básicos identificativos, número de cuenta...entre otros, debemos seguir los siguientes PASOS

Paso 1: Designamos las actividades de tratamiento.

Como hemos establecido en el ciclo de vida de tratamiento, una actividad de tratamiento sería en la fase captura: recogida mediante formulario en formato papel de datos identificativos.

Paso 2: Identificamos los principales riesgos potenciales a la actividad de tratamiento:

Una vez hemos designado la actividad de tratamiento debemos pensar que riesgos  pueden afectar a la misma. Para ello, lo abordaremos desde las siguientes PERSPECTIVAS:

  • La integridad de los datos personales: la integridad se refiere a que los datos que hemos recogido de los interesados sean en todo momento los mismos a lo largo del tratamiento.

El riesgo asociado a la integridad, sería una modificación no consentida de los datos de carácter personal.

A este riesgo le aplicamos dos medidas de protección/seguridad:

*Establecer perfiles de usuario y contraseña en los ordenadores, tablets...que impidan el acceso no autorizado al contenido de datos de carácter personal

*Disponer de un antivirus actualizado.

  • La disponibilidad de los datos personales: la disponibilidad se refiere a que en todo momento el RT pueda acceder a los datos personales que tiene almacenados.

El riesgo asociado a la disponibilidad, sería una pérdida o borrado no intencionado de datos de carácter personal.

A este riesgo le aplicamos dos medidas de protección/ seguridad:

*realizar de forma periódica copias de seguridad

*almacenar en dos ubicaciones diferentes el disco duro externo, pen, nube... en que se guardan las copias de seguridad.

 

  • La confidencialidad de los datos personales: la confidencialidad se refiere a que terceros no autorizados accedan a los datos de carácter personal de que dispone el RT

El riesgo asociado a la confidencialidad, sería un acceso no autorizado a datos de carácter personal por un tercero, haya publicación de estos datos o no.

A este riesgo le aplicamos dos medidas de seguridad/protección:

*de nuevo el establecimiento de perfiles y contraseñas

*la segmentación de la red: por ejemplo, que el departamento de publicidad no pueda acceder a los datos de facturación de los clientes.

  • Garantizar los Derechos de los interesados en el tratamiento de datos de carácter personal: nos referimos, a que los RT han de establecer procedimientos que aseguren el ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad (más adelante profundizaremos en estos conceptos)

El riesgo asociado al ejercicio de estos derechos por parte de los interesados sería una ausencia de procedimiento para ejercitar estos derechos.

A este riesgo le aplicamos las siguientes medidas de seguridad/protección:

*Establecer un procedimiento para recibir y gestionar las peticiones por parte de los interesados del ejercicio de derechos.

  • Garantizar los principios relativos al tratamiento de los datos personales: licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación.

El riesgo asociado a estos principios pueden ser entre otros: La ausencia de legitimidad para el tratamiento de datos de carácter personal (por ejemplo no contar con el consentimiento recogido en un formulario de una persona de contacto)

A este riesgo le aplicamos las siguientes medidas de seguridad/protección:

*Disponer de un formulario para recoger el consentimiento que incluya las debidas cláusulas informativas.

ii. Registro de Actividades de tratamiento

El registro de actividades de tratamiento, es una herramienta de media intensidad, y se acumulará a la herramienta básica de análisis de riesgos y gestión de riesgos por defecto.

Es decir, el RT o ET que esté obligado según el RGPD a realizar un registro de actividades de tratamiento, también habrá realizado previamente el análisis de riesgos y gestión de riesgos por defecto. El RGPD regula el registro de actividad en el art. 30. 

El mantenimiento del Registro de actividades de tratamiento únicamente será obligatorio según el RGPD para aquellas empresas u organizaciones que cuenten con más de 250 trabajadores.

El RGPD dice también que será obligatorio llevar a cabo un registro de actividades de tratamiento aunque se cuente con menos de 250 trabajadores, si el tratamiento conlleva riesgo para los afectados,  no es ocasional, o si tratan datos relativos a ideología u opiniones políticas, afiliación sindical, religión u opiniones religiosas, creencias o creencias filosóficas, origen étnico o racial, datos relativos a salud, vida sexual u orientación sexual, datos de violencia de género y malos tratos, datos biométricos, datos genéticos que proporcionan una información única sobre la fisiología o la salud del identificado obtenidas del análisis de una muestra biológica, datos solicitados para fines policiales sin consentimiento de las personas afectadas, datos relativos a condenas y delitos penales.

La información que se hará constar en el Registro de Actividades de Tratamiento del RT será:

  • Los datos de contacto del responsable ( RT)  del representante, DPO...
  • Fines de tratamiento (por ejemplo: para gestionar la relación de prestación de servicios)
  • Categorías de interesados (clientes, asistentes a eventos, proveedores...), datos personales (nombres, apellidos, dirección...), destinatarios a quién se comunicarán los datos personales (gestarías, empresas de informática)
  • Transferencias internacionales de datos (Si es que se realizarán).
  • Plazos de supresión de los datos personales (si es posible)
  • Descripción de las medidas de seguridad implementadas en los procesos de tratamiento de datos  (si es posible)

La información que se hará constar en el Registro de Actividades de Tratamiento del ET será:

  • Los datos de contacto del ET y de cada RT por cuenta del cual actúa el ET, y en su caso del representante del RT o ET, y del DPO.
  • Categorías de tratamientos efectuados por cuenta de cada RT
  • Transferencias internacionales de datos, identificación del país y documentación de las garantías adecuadas.
  • Descripción de las medidas de seguridad, si es posible.

Estos registros deberán constar por escrito, incluso en formato electrónico, y estar a disposición de la A.E.P.D. si les es requerido.

iii. Evaluación de impacto.

La podemos definir como la herramienta de mayor intensidad, de carácter preventivo que obliga a determinados RT a identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas.

En la mayoría de casos no será necesaria la utilización de esta herramienta, por lo que entraremos a exponerla de forma muy breve.

Únicamente estarán obligados a realizar una EIPD, los RT cuando el tratamiento de datos de carácter personal entrañe un alto riesgo para los derechos y libertades de las personas físicas (art. 35 RGPD)

¿Y cuándo existe un alto riesgo para los derechos y libertades de los afectados?

  • Si efectuamos una evaluación sistemática y exhaustiva de aspectos personales de los interesados mediante herramientas informáticas. Por ejemplo, elaboración de perfiles a los que posteriormente venderemos un producto o servicio.
  • Tratamiento a gran escala de datos especialmente protegidos.
  • Observación sistemática a gran escala de una zona de acceso público. Por ejemplo: cámaras de seguridad establecidas en la vía pública que controlen a los ciudadanos.

Podemos dividir las FASES DE UN EIPD en tres fases bien diferenciadas:

Primera fase: Contexto

Etapa 1: Ciclo de vida de los datos de carácter personal.

Damos por reproducido lo ya manifestado en el apartado  relativo al ciclo de vida de los datos de carácter personal.

Etapa 2: Proporcionalidad en el tratamiento. 

El RT, junto con el ET y el DPO deben contestar a las siguientes PREGUNTAS BÁSICAS:

  • ¿Quienes son los titulares de los datos que vamos a tratar? Por ejemplo clientes, contactos, redes sociales, entre otros.
  • ¿Qué datos de carácter personal hemos decidido tratar? Si van a recoger el DNI, el domicilio, el número de teléfono, datos sobre salud, ideología política y/o religiosa, datos sobre orientación sexual, entre otros.
  • ¿Qué vamos a hacer con estos datos que tratamos? ¿qué finalidad tiene dicho tratamiento? Si van a utilizar los datos para efectuar estadísticas, o bien para gestionar la prestación de servicios contratada, para enviar publicidad…
  • ¿Son necesarios todos estos datos? Han de evaluar si todos los datos que están recogiendo son necesarios para las finalidades que han establecido: para gestionar la prestación de servicios de gestoría por ejemplo, no será necesario solicitar datos sobre ideología, entre otros.

Efectuadas las preguntas y obtenidas las respuestas, el RT se ha de preguntar si dispone de base legitimadora (art. 6 RGPD) para efectuar el tratamiento. Si la respuesta es afirmativa, pasaremos a analizar si el tratamiento que vamos a realizar es proporcional a los fines que hemos establecido.

El RT ha de evaluar si la finalidad que se persigue con el tratamiento de determinados datos de carácter personal se puede conseguir por otros medios. Ejemplos de este último sería si el RT para la recogida de datos pueden utilizar tecnologías menos invasivas; si se puede reducir la cantidad de datos que recoge, ya sea reduciendo el número de personas a quién le requerimos los datos, ya sea comprobando qué tipo de datos recogemos; entre otras opciones.

Estas preguntas se han de responder y poner por escrito en el documento donde recogemos la evaluación de impacto. En caso de que veamos que no cumple con ninguno de estos principios, deberemos dejar de llevar a cabo el tratamiento y reformularlo.

Segunda fase: Gestión de riesgos, que a su vez se divide en 2 ETAPAS

Etapa 1: Identificación de las amenazas y riesgos.

En este apartado hacemos referencia a todo lo manifestado en el punto identificación de amenazas y riesgos y por tanto, el RT deberá efectuar cada una de las actuaciones establecidas en dicho apartado, con las siguientes ESPECIFICACIONES:

El riesgo que existe para cada actividad de tratamiento de datos personales se compone de DOS CONCEPTOS:

- La probabilidad de que una amenaza tenga lugar, y

- El impacto, es decir, las consecuencias que se producen cuando la amenaza tiene lugar.

Tanto  a la probabilidad como al impacto, se le otorgan unos valores que van del 1 al 4: siendo 1 probabilidad/impacto despreciable, hasta 4 probabilidad/impacto máximo.

Todo impacto ocasiona un daño que se puede categorizar en: daños físicos (agresiones físicas derivadas de la publicación no autorizada de datos íntimos: orientación sexual), daños materiales (rotura de discos duros) y daños morales (pérdida de valor de la empresa).

 

Etapa 2: Tratamiento de la amenazas y riesgos.

Identificadas las amenazas y riesgos, se han de establecer MEDIDAS ATENUADORAS del mismo, que al final es el objetivo último de un EIPD. Entre otras medidas atenuadoras del riesgo encontramos:

a. Las técnicas: son medidas encaminadas a poner en valor la seguridad física y lógica de los activos de información. Ejemplos: cifrado de datos (establecimiento de contraseñas), controles de acceso, entre otras.

b. Las legales: son medidas encaminadas a cumplir con las normas. Ejemplos: cláusulas de recogida de consentimiento expreso.

c. Las organizativas: son medidas encaminadas a establecer procedimientos  tales como: establecimiento de procedimiento de ejercicio de derechos por los interesados.

La adopción de estas medidas nos dará como resultado lo que se denomina un riesgo

residual con unos valores comprendidos: del 1 al 2( riesgo bajo), del 3 al 6 (riesgo medio) del 7 al 9 (riesgo alto), del 10 al 12 o más (riesgo muy alto).

 

Para abordar dicha atenuación del riesgo podemos optar por CUATRO VÍAS:

a. La anulación del riesgo. Abandonar la actividad de tratamiento si entendemos que no queremos asumir dicho riesgo.

b. La retención del riesgo. Entender que las medidas que hemos implementado para atenuar el riesgo son suficientes a éstos últimos y no hay que adoptar ninguna medida más.

c. La reducción del riesgo. Mediante la implementación de medidas que permitan reducir o bien la probabilidad y/o impacto asociados al riesgo.

d. La transferencia del riesgo. Podemos contratar a otras entidades públicas o privadas que nos permitan atenuar las consecuencias materiales asociados a los riesgos. En estos casos, será necesarios efectuar análisis adicionales.

Tercera fase: Conclusión.

El EIPD finaliza con la fase relativa a la conclusión, donde distinguimos DOS ETAPAS: bien diferenciadas: el plan de acción y el informe de conclusiones.

 

Etapa 1: Plan de acción

El plan de acción consiste en un conjunto de iniciativas que se deben realizar para

implantar los controles que ayudan a reducir el riesgo inherente de toda actividad de tratamiento.

Etapa 2: Informe de conclusiones

En el informe de conclusiones se deberá recoger el riesgo residual obtenido durante la fase de gestión de riesgos, valorando si ese es elevado o se considera aceptable y dentro de unos límites razonables.

En caso de que la conclusión del EIPD no sea favorable, se deberán incluir medidas de control adicionales que permitan reducir el nivel de exposición a los riesgos, disminuyendo el mismo hasta un nivel aceptable. Si no fuese posible el tratamiento sería necesario activar un procedimiento de consulta previa a la Autoridad de control.

En caso de que la conclusión del EIPD sea favorable, la actividad de tratamiento se puede llevar a cabo siempre que se efectúen las medidas de control recogidas en el plan de acción.

3.12. Transferencia internacional de datos.

La circulación de datos entre países de la UE está amparada por el principio de libre circulación (Art. 1.3 RGPD).  No así las transferencias transfronterizas de datos personales a países no pertenecientes en la Unión.

Por transferencia internacional de datos se entiende cualquier transmisión de datos de carácter personal fuera del Espacio Económico Europeo sea cual sea el medio que se utilice para ello.

Primera categoría: Transferencias internacionales basadas en una decisión de adecuación.

El artículo 45 RGPD determina que se podrá realizar una transferencia de datos personales a un tercer país u organización internacional, sin ninguna autorización administrativa previa “cuando la Comisión haya decidido que el tercer país, un territorio o varios sectores específicos de ese tercer país (…) garantizan un nivel de protección adecuado”.En este caso, debe haber un soporte o habilitación.

El RGPD prevé los siguientes:

Ejemplos:

Andorra: Decisión 2010/625/UE de la Comisión, de 19 de octubre 2010.

Argentina: Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003.

Canadá: Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001.

Estados Unidos: Solo si la entidad está adherida a “Privacy Shield”.

Guernesey: Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.

Isla de Man: Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.

Islas Feroe: Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010.

Israel: Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011.

Jersey: Decisión 2008/393/CE de la Comisión, de 8 de mayo de 2008.

Nueva Zelanda: Decisión 2013/65/UE de la Comisión, de 21 de agosto de 2012.

Suiza: Decisión 2000/518/CE de la Comisión, de 26 de julio de 2010.

Uruguay: Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012.

Segunda categoría: Transferencias internacionales mediante garantías adecuadas.

A diferencia de la actual LOPD, el RGPD prevé que se podrán efectuar transferencias a terceros países u organizaciones que no cuenten con el visto bueno de la Comisión Europea si se cumplen unas determinadas garantías tasadas reglamentariamente. En estas ocasiones tampoco es necesaria la autorización administrativa de la autoridad de control (en España, la Agencia Española de Protección de Datos).

En resumen, el artículo 46 RGPD prevé que, en los casos indicados reglamentariamente, se entenderá –iuris tantum-, en la mayoría de supuestos- que la transferencia tiene garantías adecuadas como las que se realizarían dentro de territorio común.

Tercera categoría: “Binding corporate rules” o normas corporativas vinculantes.

El RGPD también prevé el supuesto de los grupos empresariales con empresas en distintos países.

El legislador comunitario ha entendido que una forma para hacerlo es mediante las “Binding corporate rules” o normas corporativas vinculantes.

En este sentido, el artículo 47 RGPD establece que la autoridad de control aprobará normas corporativas de carácter vinculante a las que se podrán unir los grupos de empresas, permitiendo salvaguardar la transferencia de datos.

Cuarta Categoría: Excepciones para situaciones específicas (Art. 49)

Permite realizar transferencia si no se dan las categorías anteriores sí hay:

a)        consentimiento explícito tras información adecuada.

b)        Necesidad para ejecución de contrato o precontrato entre  interesado y RT, o entre RT y tercero en su interés.

c)        Por razones importantes de interés público.

d)        Formulación, ejercicio, defensa de reclamaciones.

e)        Proteger los intereses vitales del interesado o otras personas.

f)     La transferencia se realice desde un registro público que tenga por objeto facilitar información al público.

3.13. Régimen sancionador.

Regulado en el Título VIII. Procedimientos en caso de posible vulneración de la normativa de protección de datos y en el Título IX. Régimen Sancionador de la LOPDGDD, no nos extenderemos sobre el mismo.

Sólo señalar que las sanciones más graves pueden ir hasta los 20 millones de euros o el 4% del volumen de negocio global del ejercicio financiero anterior de la compañía infractora.

4. Estado de cumplimiento.

En la entrevista efectuada con fecha de 3.diciembre.2018 a la directora de la A.E.P.D., Dª. MAR ESPAÑA se señala que:

  • Se han designado 22.000 delegados de protección de datos.
  • Han aumentado las reclamaciones un 35% desde el 25 de mayo.
  • Sigue existiendo fraude en materia de implantación de protección de datos. Empresas que ofrecen el servicio de protección de datos a coste cero. E incluso se han detectado empresas que utilizan el logo de la A.E.P.D. para dar la visión de que son organismos certificados por la autoridad de control.
  • Se han notificado 300 notificaciones de brechas de seguridad, de las cuales 10 están siendo investigadas.
  • En los municipios de menos de 20.000 habitantes las administraciones públicas no tienen designado un delegado de protección de datos, se está trabajando en ello.2]

 

BIBLIOGRAFÍA

 

  1. Guía práctica de análisis de riesgos para el tratamiento de datos personales, A.E.P.D. Link: https://www.aepd.es/guias/index.html
  2. Guía práctica para las evaluaciones de impacto en la protecciónd e datos personales, A.E.P.D. Link: https://www.aepd.es/guias/index.html
  3. Guía para el cumplimiento del deber de informar, A.E.P.D. Link: https://www.aepd.es/guias/index.html
  4. Guía pra la gestión y notificaciónd e brechas de seguridad, A.E.P.D. Link: Link: https://www.aepd.es/guias/index.html
  5. “Practicum protección de datos 2.018”, Ed. Arazadi, S.A.U, ISBN 978-84-9098-947-0.
  6. Revista CincoDías de “El Pais” el pasado 3.Diciembre.2018. Link: https://cincodias.elpais.com/cincodias/2018/12/03/legal/1543823598_064718.html
 

[1] Información extraída de la Guía práctica de análisis de riesgos para el tratamiento de datos personales y de la guía práctica para las evaluaciones de impacto en la protección de datos personales, elaboradas por la A.E.P.D.: https://www.aepd.es/guias/index.html

[2]Entrevista efectuada en la revista CincoDías de “El Pais” el pasado 3.Diciembre.2018. Link: https://cincodias.elpais.com/cincodias/2018/12/03/legal/1543823598_064718.html

                                                                 

Il·lustre Col·legi de l'Advocacia de Tarragona © Copyright 2015. Reservats tots els drets.
  • Tecnologies
  • Disseny Pàgines Web Tarragona

Avís cookies

Per poder millorar els nostres serveis, utilitzem cookies de tercers per recollir informació estadística. Si contínua navegant considerem que accepta la seva utilització. Més informació aquí..