Archivo de la etiqueta: protección de datos

El nuevo reglamento europeo de protección de datos

El pasado 4 de mayo se publicó en el Diario Oficial de la Unión Europea el nuevo Reglamento de Protección de Datos, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

No obstante, desde su publicación hasta su fecha efectiva de aplicación, se ha establecido un período transitorio, de forma que dicho Reglamento no será aplicable hasta dos años después de la fecha de entrada en vigor (que se produce a los 20 días de su publicación en el Diario Oficial de la Unión Europea), esto es, mayo de 2018.

Con la publicación de este nuevo reglamento se pretende una “modernización y adaptación” de los tratamientos de datos a la era digital.

Proteccion de datos

Las principales novedades que recoge esta tan esperada norma son las siguientes:

La introducción del llamado «derecho al olvido». 

Con este nuevo derecho se permitirá a los titulares de los datos obtener la supresión o rectificación de los datos personales que hubiesen facilitado al responsable del tratamiento en determinados supuestos, entre otros, cuando los datos no sean necesarios para las finalidades para las que fueron recogidos, cuando los datos personales hayan sido tratados ilícitamente o cuando los datos personales deban suprimirse para cumplir con una obligación legal.

No obstante, y como contrapartida, se establecen una serie de excepciones al ejercicio de dicho derecho, como puede ser el derecho a la libertad de expresión e información, el cumplimiento de una obligación legal, el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, por razones de interés público en el ámbito de la salud pública, con fines de archivo en interés público, de investigación científica, histórica o estadística, o para la formulación, el ejercicio o la defensa de reclamaciones.

La necesidad de «consentimiento claro y afirmativo» del titular de los datos.

No se admite ya el consentimiento tácito, y reforzando la obligación de informar al titular de los datos tanto en el supuesto de que los mismos se recaben directamente del interesado como si se obtienen de otra fuente.

Así no es suficiente con facilitar al titular de los datos la información obligatoria recogida en el LOPD, sino que deberá ampliarse dicha información a, entre otras cuestiones, el plazo de conservación de los datos o el derecho a la portabilidad de los mismos.

La «portabilidad de los datos». 

Esta novedad permitiría a los titulares de los datos transferir sus datos de un sistema de tratamiento electrónico de un proveedor de servicios a otro, sin que se lo impida el responsable del tratamiento.

Derecho a ser informado. 

Siempre que los datos personales hayan sido «pirateados», existe el derecho a ser informado.

La figura del Delegado de Protección de Datos (DPO). 

Se impone la obligatoriedad del nombramiento de un DPO siempre que el tratamiento sea llevado a cabo por una autoridad u organismo público, excepto los Tribunales que actúen en ejercicio de su función judicial; cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines requieran una observación habitual y sistemática de interesados a gran escala; o cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales (como el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos) y de datos relativos a condenas e infracciones penales.

El DPO deberá conocer profundamente las normas de protección de datos europeas, así como su práctica, pudiendo desarrollar esta función un empleado de la compañía o actuar mediante un contrato de prestación de servicios.

En cuanto a sus funciones destacan el asesoramiento general dentro de la empresa en todo lo relativo a protección de datos personales, la supervisión del cumplimiento de la legislación y políticas de privacidad, con especial atención a los riesgos asociados a las actividades que llevara a cabo la empresa, la elaboración de informes de evaluación de impacto de ciertos tratamientos de datos personales y la cooperación con las autoridades de control nacionales.

Sanciones en caso de incumplimiento. 

Por último, una de las novedades que más puede interesar a las empresas o responsables del tratamiento son las cuantías de las sanciones en caso de incumplimiento, las cuales se elevan pudiendo alcanzar, en su grado más alto, hasta 20.000.000 € o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

En definitiva, con el nuevo Reglamento de Protección de Datos se inicia un período de transición que implica un fortalecimiento de los derechos de los interesados y una rápida adaptación de las empresas a este nuevo marco normativo europeo.

Por Tamara Fuentes Vidal,
Abogada asociada del Despacho de Vigo.

 

¿Cumple su empresa con la normativa sobre protección de datos? Descúbralo

¿Cumple su empresa con la normativa sobre protección de datos?

 

Obligaciones más importantes por parte de la empresa.

Maio Legal - Protección de datos

La Ley de Protección de Datos (Ley Orgánica 15/1999, de 13 de diciembre) es de obligado cumplimiento para “todas” las personas físicas (particulares o autónomos) o jurídicas (empresas, asociaciones, fundaciones, etc.), así como Administraciones Públicas que traten datos de carácter personal de personas físicas.

Lo anterior implica que prácticamente la totalidad de la empresas están obligadas a cumplir con la LOPD, quedando únicamente excluidas aquellas personas físicas o jurídicas, que solo traten datos de carácter personal de personas jurídicas, a las que la LOPD no les resulta de aplicación.

Una vez aclarado el ámbito de aplicación de la ley, convendría enumerar las obligaciones más importantes a cumplir por parte de la empresa (o responsable del fichero) en esta materia, entre las que destacamos:

  1. Atención a los derechos ejercitados por el interesado (persona física titular de los datos que sean objeto del tratamiento): A través del ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición), el interesado puede ejercer un control sobre el uso de sus datos. Unido a estos derechos, estaría el deber de información que debe existir por parte del responsable del fichero con carácter previo al tratamiento.
  2. Deber de secreto: El artículo 10 de la Ley Orgánica exige al responsable del fichero y a quienes intervengan en cualquier fase del tratamiento de datos a guardar secreto profesional sobre los datos, subsistiendo dicha obligación aún después de finalizar su relación con el responsable.
  3. Registro de ficheros: Una vez determinado si los ficheros contienen datos de nivel básico, medio o alto, se procederá a la inscripción de los ficheros de los que la empresa es titular en el Registro General de Protección de Datos.
  4. Aplicación de las medidas de seguridad: El principio de seguridad y confidencialidad impone al responsable del fichero la obligación de adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
  5. Documento de seguridad: Es un documento de carácter interno que refleja las medidas, normas, procedimientos de actuación y reglas establecidos para garantizar la seguridad de los datos de una empresa. Este documento debe ser elaborado por el responsable del fichero (o en caso, encargado del tratamiento) y es de obligado cumplimiento para el personal que tenga acceso a los datos y a los sistemas de información.

 

¿Cumple su personal con dicha normativa?

 

Además de las obligaciones que pudiera tener la empresa en materia LOPD, el personal a su cargo con acceso a datos de carácter personal, debe ser conocedor de las normas de seguridad que afectan al desarrollo de sus funciones y a sus consecuencias en caso de incumplimiento.

 En este sentido, es clave la formación de los empleados que tengan acceso a datos de carácter personal, haciéndoles conocedores de la importancia de la normativa y formándolos sobre las funciones, obligaciones y normas que deben cumplir.

En muchas ocasiones, la falta de formación provoca que sea el propio personal, la fuente principal de errores en materia de protección de datos y seguridad, de forma que una gran parte de las sanciones impuestas por la Agencia Española de Protección de Datos están provocadas por una mala praxis del personal, el cual de forma voluntaria o involuntaria puede vulnera la normativa.

Por Tamara Fuentes Vidal,
Abogada asociada del Despacho de Vigo.