Protección de Datos Personales en el Despacho · indirectamente, en particular mediante un...

Protección de Datos Personalesen el Despacho

Alberto J. RodriguezAbogado

Objetivos

● Privacidad

● Normativa de Protección de Datos de Carácter Personal

● Actuaciones para el cumplimiento de la normativa aplicable en nuestro ejercicio profesional

Privacidad

“Estamos llegando al fin de una civilización, sin tiempo para reflexionar, en la que se ha impuesto una especie de impudor que nos ha llegado a convencer de que la privacidad no existe.”

José Saramago

“La única privacidad que queda es la que está en nuestras mentes.”

Film - Enemigo Público

“La vida privada de un ciudadano debe ser recinto amurallado.”

Talleyrand

Una Vida Vigilada(GEMMA GALDON CLAVELL)

1. Videovigilancia: las imágenes pueden ser interceptadas.

2. Contadores de luz y termostatos: dan información de hábitos.

3. Televisores inteligentes y consolas: incorporan cámaras y micrófonos.

4. Controles biométricos de entrada y salida.

5. Monitorización remota en el trabajo: capturas de pantalla del trabajador para medir la productividad.

6. Bases de datos personales: pueden contener datos fiscales y de salud de los clientes.

7. Sensores de conteo de personas: monitorizan el flujo de compradores y los tiempos de compra.

8. Tarjetas de fidelización: a cambio de descuentos, crean perfiles del comprador.

9. Ibeacons: envían ofertas a móviles cercanos.

10. Wifi gratuito: se puede ofrecer a cambio de acceso al perfil de Facebook.

11. Abonos de transporte público: tarjetas recargables que producen datos de desplazamientos.

12. Redes de bicicletas públicas: registro de trayectos.

13. Coches: hay sistemas para registrar las matrículas.

14. Telefonía móvil: permite geolocalizar.

15. Cámaras térmicas y sensores sonoros: miden flujo de peatones y niveles de ruido.

16. Mobiliario urbano que detecta presencia de peatones.

17. Sistemas de párking: el pago con tarjeta de plazas azules y verdes genera datos del usuario.

La PrivacidadEn realidad, cada vez que visitamos una página con el ordenador, el teléfono móvil o la tableta, recibimos decenas de peticiones de instalación de cookies.

Somos, pues, el producto porque a cambio de la información que obtenemos proporcionamos detalles sobre nuestra actividad online y, a menudo, datos personales como nuestro nombre y ubicación, hábitos, tarjeta de crédito, etcétera, de los que no tenemos forma de controlar dónde acaban.

Al aceptar nos convertirnos en el producto, pues conviene no olvidar que aceptamos también que se nos pueda acabar apartando del juego, escondidos o ignorados porque nuestro perfil no aporta la solvencia, salud u obediencia esperada.

“Conjunto de reglas que, aplicada sistemáticamente a unos datos de entrada apropiados, resuelven un problema en un número finito de pasos elementales”

Algoritmos + computadoras =

revolución

Algortimos somos todos ...

“Los algoritmos se usan para predecir resultados electorales, conocer nuestros gustos y el mundo del trabajo se va algoritmizando: las diferentes tareas se convierten en algoritmos y se automatiza el trabajo”,

"El poder está en manos

de quien controla los algoritmos"

Los organismos, incluido el ser humano, no son más que algoritmos y que la vida es procesamiento de datos. Pronto los algoritmos nos conocerán mejor que nosotros mismos.

Publicidad Comportamental

Es el modelo publicitario basado en el comportamiento del consumidor, para el cual una cookie recaba información anónima sobre hábitos de navegación con el fin de ofrecerle publicidad acorde a sus intereses.


La publicidad conductual implica la creación de perfiles de comportamiento de las personas, que pueden ir más allá de la simple segmentación o targeting de los usuarios.


“If you are not paying for it, you’re not the customer; you’re the product being sold”

(Andrew Lewis)

Normativa en materia de Protección de Datos de Carácter Personal

Escribe aquí tu texto Escribe aquí tu texto Escribe aquí tu texto Escribe aquí tu texto Escribe aquí tu texto

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la Protección de las Personas Físicas

REGLAMENTO (UE) 2016/679 DEL

PARLAMENTO EUROPEO Y DEL CONSEJO de 27

de abril de 2016 relativo a la protección de las

personas físicas en lo que respecta al

tratamiento de datos personales y a la libre

circulación de estos datos y por el que se

deroga la Directiva 95/46/CE (Reglamento

general de protección de datos)

Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.

Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal (parcialmente vigente)

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (parcialmente vigente)

Real Decreto 428/1993, de 26 de marzo por el que se aprueba el Estatuto de la Agencia de Protección de Datos.

Normativa Protección de DatosEl Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de estos Datos, deroga la Directiva 95/46/CE, fue publicado y entró en vigor el 24 de mayo de 2017, y será de aplicación efectiva a partir de la fecha del 25 de mayo de 2018.

Derogada la normativa que servía de desarrollo a dicha Directiva 95/46/CE, es decir, Ley Orgánica 15/1999, de 13 de diciembre, y su Reglamento de desarrollo aprobado mediante Real Decreto 1730/2007, de 31 de diciembre. Como tal Reglamento comunitario, se aplica de manera directa y no necesita su trasposición al Derecho interno.No obstante, se hace necesaria una Ley Orgánica, que en la actualidad se encuentra en fase de proyecto de ley en el Parlamento, y a ello le seguirán con toda probabilidad otras normas de desarrollo.

La nueva normativa busca garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión Europea; el nivel de protección de los derechos y libertades de las personas físicas, por lo que se refiere al tratamiento de dichos datos, debe ser equivalente en todos los Estados miembros.

Ambito de AplicaciónSubjetivo

Se otorga protección a las personas físicas -vivas- respecto del tratamiento de sus datos personales

No se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial.

Tampoco es de aplicación al nombre y forma de las personas jurídicas, ni a los datos profesionales de contacto de las personas que en ellas trabajan, por ejemplo, el directorio de empleados, cargos, etc.

Ámbito de AplicaciónObjetivo

La norma no protege cualquier clase de dato.

Solo son objeto de protección los datos de carácter personal, que son los que constituyen información sobre una persona física identificada o identificable (interesado)

Persona física identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Ámbito de AplicaciónMaterial

El RGPD se aplica (i) al tratamiento informatizado de datos personales, y (ii) al tratamiento no informatizado (soporte papel) de datos personales contenidos o destinados a ser incluidos en una base de datos.

Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Queda excluido: el tratamiento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.

Ámbito de AplicaciónTerritorial

El RGPD se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión Europea, independientemente de que el tratamiento tenga lugar en la Unión o no, y, por tanto, se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión Europea, cuando las actividades de tratamiento estén relacionadas con:

a) La oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago.b) O el control de su comportamiento, en la medida en que este tenga lugar en la Unión Europea.

La Responsabilidad Proactiva

Responsabilidad del responsable del tratamiento por cualquier tratamiento realizado por él o por un encargado

Está obligado (i) a aplicar medidas oportunas y eficaces, desde el punto de vista técnico y organizativo, y (ii) tiene que demostrar la conformidad de las actividades de tratamiento con la normativa contenida en el Reglamento General, incluida la eficacia de las medidas adoptadas

Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas.

Fundamentos de la Protección de Datos

El Riesgo

Los riesgos para los derechos y libertades de las personas físicas pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales;

En particular, en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo


El Riesgo

En los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales


El Riesgo

Agencia Española de Protección de Datos: este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo.

A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el Reglamento General prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones, frente a todos los tratamientos de datos personales que lleven a cabo..


Empoderamiento del Ciudadano

El derecho fundamental a la protección de datos reconoce al ciudadano la facultad de controlar sus datos personales y la capacidad para disponer y decidir sobre los mismos.

La protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal.

Principio del Empoderamiento del usuario: que el usuario tenga el control último sobre sus datos y los tratamientos realizados sobre los mismos por terceros.



Autoorganización

Directiva 95/46/CE y Ley

Orgánica 15/1999, de 13 de diciembre

RGPDMayor

Responsabilidad

Responsabilidad

Art. 83 del nuevo Reglamento General parte del hecho de que las multas administrativas impuestas por las infracciones a la normativa tienen que ser analizadas de manera individualizada y, al mismo tiempo, deben reunir las siguientes características:

a) Ser efectivas.

b) Ser proporcionadas.

c) Y, finalmente, ser disuasorias.


Responsabilidad

Precisamente por tener que individualizar las sanciones, la AEPD debe atender a los siguientes aspectos:a) La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido.

b) La intencionalidad o negligencia en la infracción.

c) Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados.


Responsabilidad

d) El grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado.

e) Toda infracción anterior cometida por el responsable o el encargado del tratamiento.

f) El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción.

g) Las categorías de los datos de carácter personal afectados por la infracción.

h) La forma en que la autoridad de control tuvo conocimiento de la infracción.


Responsabilidad

i) Cuando las medidas coercitivas hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas.

j) La adhesión a códigos de conducta o a mecanismos de certificación aprobados.

k) Y cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.


Responsabilidad

Las infracciones de las disposiciones siguientes se sancionarán:

a)Con multas administrativas de 10.000.000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. b) O bien con multas administrativas de 20.000.000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.


Nombre del proyecto

Principios de la Protección de Datos

Art. 5 RGP: los principios relativos al tratamiento de datos personales son

a) Licitud, lealtad y transparencia: Los datos han de ser tratados de manera lícita, leal y transparente en relación con el interesado. Consecuentemente, su recogida debe ser proporcional a la finalidad para la cual se van a utilizar los datos.

b) Limitación de la finalidad: Tienen que ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.


Principios de la Protección de Datos

c) Minimización de datos: Los datos obtenidos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Por tanto, no podrán recabarse datos que sean excesivos.

d) Exactitud del dato: Del mismo modo, dichos datos deben ser exactos y, si fuera necesario, actualizados. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan


Delegado de Protección de Datos (DPO) - (Art. 37 RGPD)

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10, RGPD.

Pautas para implantación RGPD


a) Los colegios profesionales y sus consejos generalesb) Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicasd) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.e) Las entidades de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.f) Los establecimientos financieros de crédito (Ley 5/2015, de 27 de abril), de fomento de la financiación empresarial.



g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio.h) Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.i) Los distribuidores y comercializadores de energía eléctrica , conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.



k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos. l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica



m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.

n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.

ñ) Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada


Registro de Actividad de tratamiento- (Art. 30 RGPD)

El Registro General de actividades de tratamiento del responsable del mismo, o de un encargado, ha de crearse a los efectos de dejar constancia y poder acreditar toda la actividad desplegada en el cumplimiento del régimen jurídico derivado de la protección de datos de carácter personal.

Cada responsable y, en su caso, su representante, tiene que llevar como norma general un registro de las actividades de tratamiento efectuadas bajo su responsabilidad

Se puede crear en formato electrónico, y en todo caso ha de estar a disposición de la autoridad de control que lo solicite.


Registro de Actividad de tratamiento- (Art. 30 RGPD)

Este registro es obligatorio para todas aquellas organizaciones responsables del tratamiento que emplee a más de 250 personas, a menos que: ● El tratamiento, sin ser ocasional, pueda entrañar un riesgo para los derechos y

libertades del interesado, o● El tratamiento incluya categorías especiales de datos (origen étnico o racial,

opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos para identificar a una persona, datos de salud, vida y orientación sexual), o

● El tratamiento incluya datos relativos a condenas e infracciones penales.


Registro de Actividad de tratamiento - (Art. 30 RGPD) - Contenido

● El nombre y los datos de contacto del responsable y, en su caso, del encargado de tratamiento, del representante del responsable, y del delegado de protección de datos.

● Los fines del tratamiento.

● Una descripción de las categorías de interesados y de las categorías de datos personales.

● Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.


Bases de Legitimación para el tratamiento

Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho, ya sea en el RGPD, otro Derecho de la Unión o de los Estados miembros a que se refiere el Reglamento General, la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o la necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato.


Bases de Legitimación para el tratamiento. El consentimiento

El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal.

Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.



Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento.

Debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas.

Para que el consentimiento sea informado, el interesado debe conocer, como mínimo, la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales



El consentimiento prestado antes de la aplicación efectiva del Reglamento General es completamente válido, con la única excepción del llamado "consentimiento tácito" o por omisión, que consistía en requerir al interesado para que en un plazo de 30 días manifestara su oposición al tratamiento, y si en dicho plazo no lo hacía, se interpretaba que lo prestaba para que dicho tratamiento se llevará a cabo

Debe tenerse presente que el interesado tiene derecho a retirar su consentimiento en cualquier momento.

La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada.


Bases de Legitimación para el tratamiento. La Relación Contractual

La base de toda relación contractual está constituida principalmente por el contrato suscrito, en este caso y con carácter habitual y general, entre el responsable del tratamiento y el titular de los datos, con un determinado objeto, donde se hace preciso recabar y que existan datos personales del usuario o consumidor, a los efectos de poder gestionar de manera adecuada la misma.

Por tanto, en toda relación contractual es el contrato el que define la relación. O, lo que es lo mismo, el que describe las obligaciones y derechos de las partes.

La Hoja de Encargo Profesional - inclusión consentimiento


Bases de Legitimación para el tratamiento. Intereses vitales

Ya sean los del propio interesado o de otra persona.

El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física.

Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como, por ejemplo, cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.


Derechos del Interesado

● Acceso● Rectificación● Cancelación / Supresión /

Olvido● Limitación de tratamiento● Portabilidad● Oposicion

Derechos del interesado en el RGPD - Derecho de Acceso

Los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento.

Ello incluye el derecho de los interesados a acceder a datos relativos a la salud, por ejemplo, los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas.



Todo interesado debe, por tanto, tener el derecho a conocer y a que se le comuniquen, en particular, los fines para los que se tratan los datos personales, su plazo de tratamiento, sus destinatarios, la lógica implícita en todo tratamiento automático de datos personales y, por lo menos cuando se base en la elaboración de perfiles, las consecuencias de dicho tratamiento.

Así, el interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen



Concretamente, el derecho de acceso comporta obtener la siguiente informacion:

a) Los fines del tratamiento.b) Las categorías de datos personales de que se trate.c) Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales.d) De ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo.e) La existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento.



f) El derecho a presentar una reclamación ante una autoridad de control.g) Cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen.h) La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas relativas a la transferencia.


Derechos del interesado en el RGPD - Derecho de Rectificación

El interesado tendrá derecho a obtener, sin dilación indebida del responsable del tratamiento, la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

El responsable del tratamiento tiene la obligación de comunicar cualquier rectificación del tratamiento efectuada a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado.


Derechos del interesado en el RGPD - Derecho de Cancelación / Supresión / Olvido

Los interesados tienen derecho a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo, si los interesados han retirado su consentimiento para el tratamiento o se oponen al tratamiento de datos personales que les conciernen, o si el tratamiento de sus datos personales incumple de otro modo el Reglamento General.

Este derecho es conocido como Derecho al Olvido cuando se aplica en itnernet


Derecho al OlvidoLas tecnologías de la información, que almacenan miles de millones de datos indefinidamente, e Internet, han provocado el nacimiento del llamado derecho al olvido, que reconoce la capacidad de una persona para suprimir y bloquear informaciones que afecten a su privacidad o dignidad.

Es una vertiente del derecho a la intimidad y al honor, recogido en el artículo 18.4 de la Constitución:

“La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”

Derecho al Olvido

Es la manifestación del derecho de supresión aplicado a los buscadores de internet. El derecho de supresión ('derecho al olvido') hace referencia al derecho a impedir la difusión de información personal a través de internet cuando su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa. En concreto, incluye el derecho a limitar la difusión universal e indiscriminada de datos personales en los buscadores generales cuando la información es obsoleta o ya no tiene relevancia ni interés público, aunque la publicación original sea legítima (en el caso de boletines oficiales o informaciones amparadas por las libertades de expresión o de información).

Derecho al OlvidoSentencia TJUE 13 de mayo de 2014 - Caso Google

Un ciudadano español presentó una reclamación ante la AEPD contra el periódico la Vanguardia y el buscador Google, pues si introducía su nombre en el buscador obtenía como resultados vínculos a dos páginas de este periódico donde figuraba un anuncio de subasta pública de inmuebles relacionado con un embargo de la Seguridad Social.

Solicitaba que el periódico eliminara o modificara la publicación para que no aparecieran sus datos personales. Por otro lado, solicitaba que se exigiera a Google que eliminara u ocultara sus datos personales para que dejaran de incluirse en sus resultados de búsqueda y dejaran de estar ligados a los enlaces de La Vanguardia.

Derecho al OlvidoLa AEPD desestimó dicha reclamación, al entender que dichas publicaciones estaban legalmente justificadas.

Pero sí estimó la reclamación respecto a Google. Consideró que quienes gestionan motores de búsqueda están sometidos a la normativa en materia de protección de datos, dado que llevan a cabo un tratamiento de datos del que son responsables y actúan como intermediarios de la sociedad de la información.

Derecho al OlvidoLa compañía de Google interpuso recursos contra dicha resolución de la AEDP ante la Audiencia Nacional.

La Audiencia Nacional suspende el procedimiento y plantea como cuestiones prejudiciales ante el TJUE (i) determinar la actividad de los buscadores en Internet y su sometimiento a la normativa en materia de protección de datos. También se plantea (ii) si las leyes que rigen en la UE, se pueden aplicar en este caso contra Google; (iii) si los buscadores, cuando registran la información, están realizando un tratamiento de datos personales, y (iv) si la protección de datos incluye el derecho al olvido.

Derecho al Olvido

“Los artículos 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46 deben interpretarse en el sentido de que, al analizar los requisitos de aplicación de estas disposiciones, se tendrá que examinar, en particular, si el interesado tiene derecho a que la información en cuestión relativa a su persona ya no esté, en la situación actual, vinculada a su nombre por una lista de resultados obtenida tras una búsqueda efectuada a partir de su nombre, sin que la apreciación de la existencia de tal derecho presuponga que la inclusión de la información en cuestión en la lista de resultados cause un perjuicio al interesado.

Derecho al OlvidoPuesto que éste puede, habida cuenta de los derechos que le reconocen los artículos 7 y 8 de la Carta, solicitar que la información de que se trate ya no se ponga a disposición del público en general mediante su inclusión en tal lista de resultados, estos derechos prevalecen, en principio, no sólo sobre el interés económico del gestor del motor de búsqueda, sino también sobre el interés de dicho público en acceder a la mencionada información en una búsqueda que verse sobre el nombre de esa persona.

Sin embargo, tal no sería el caso si resultara, por razones concretas, como el papel desempeñado por el interesado en la vida pública, que la injerencia en sus derechos fundamentales está justificada por el interés preponderante de dicho público en tener, a raíz de esta inclusión, acceso a la información de que se trate”

Derecho al OlvidoSe puede ejercer directamente frente el buscador.

Los motores de búsqueda y los editores originales realizan dos tratamientos de datos diferenciados, con legitimaciones diferentes y también con un impacto diferente sobre la privacidad de las personas.

Por eso puede suceder, y de hecho sucede con frecuencia, que no proceda conceder el derecho frente al editor y sí frente al motor de búsqueda, ya que la difusión universal que realiza el buscador, sumado a la información adicional que facilita sobre el mismo individuo cuando se busca por su nombre, puede tener un impacto desproporcionado sobre su privacidad.

Derecho al OlvidoNo desaparece la información.

Sólo afecta a los resultados obtenidos en las búsquedas hechas mediante el nombre de la persona y no implica que la página deba ser suprimida de los índices del buscador ni de la fuente original. El enlace que se muestra en el buscador sólo dejará de ser visible cuando la búsqueda se realice a través del nombre de la persona que ejerció su derecho. Las fuentes permanecen inalteradas y el resultado se seguirá mostrando cuando la búsqueda se realice por cualquier otra palabra o término distinta al nombre del afectado.

Ejercicio del Derecho al Olvido

Para ejercer el derecho de supresión ('derecho al olvido') es imprescindible que el ciudadano se dirija en primer lugar a la entidad que está tratando sus datos: el buscador. Los buscadores mayoritarios han habilitado sus propios formularios (Google, Bing o Yahoo) para recibir las peticiones de ejercicio de este derecho en este ámbito.

Si la entidad no responde a la petición realizada o el ciudadano considera que la respuesta que recibe no es la adecuada, puede interponer una reclamación ante la AEPD. En función de las circunstancias de cada caso concreto, la Agencia determinará si la estima o no. Esta decisión de la Agencia, a su vez, es recurrible ante los Tribunales.

Derecho al Olvido

Derechos del interesado en el RGPD - Derecho de Cancelación / Supresión / Olvido - Art. 17 RGPD● Cuando el responsable no necesite usar más los datos personales con el fin para

el que fueron recogidos● Si el interesado retira el consentimiento● Si el interesado se opone al tratamiento de sus datos y la organización no tiene un

interés legítimo primordial sobre ellos● Si los datos personales son objeto de un tratamiento ilícito● Los datos personales deban suprimirse para el cumplimiento de una obligación

legal establecida en la legislación vigente que se aplique al responsable del tratamiento.

● Los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información.


Derechos del interesado en el RGPD - Limitación de Tratamiento (art. 18)

Este derecho consiste en limitar los fines para los cuales se ha consentido el tratamiento de los datos personales, en los siguientes supuestos:

Inexactitud: Cuando el interesado haya solicitado al Responsable del tratamiento la puesta al día de sus datos personales, por considerarlo inexactos. Esta limitación de tratamiento se realizará por parte del Responsable de fichero durante el plazo necesario para que este compruebe la exactitud de los mismos.

Ilicitud: Cuando los datos sean ilícitos pero el interesado no desee cancelar los mismos. En estos supuestos se podrá solicitar por el interesado la limitación del tratamiento de sus datos, en vez de la supresión de los mismos.



Reclamaciones: Cuando el interesado necesite que el Responsable siga tratando sus datos con el objeto de formular, ejercer o defender reclamaciones, a pesar de que el Responsable del fichero ya no necesite tratar los datos personales del interesado para la finalidad por la que fueron recabados.

Oposición: Cuando el interesado lo solicite, como medida provisional, en el caso de haber ejercido el derecho de Oposición. La limitación de tratamiento operará durante el tiempo que emplee el Responsable del tratamiento en dilucidar si los argumentos que esgrime el interesado para oponerse el tratamiento de sus datos, son pertinent



El efecto práctico:

El Responsable de los ficheros deberá reservar los datos y sólo utilizarlos en los siguientes supuestos: ● Para la formulación, el ejercicio o la defensa de reclamaciones.

● Para defender, en materia de Protección de Datos, los derechos de otra persona física o jurídica.

● Por razones de interés público importante de la Unión Europea o de un determinado Estado miembro.


Derechos del interesado en el RGPD - Portabilidad (art. 20)

Para reforzar aún más el control sobre sus propios datos, cuando el tratamiento de los datos personales se efectúe por medios automatizados, debe permitirse, asimismo, que los interesados que hubieran facilitado datos personales que le conciernan a un responsable del tratamiento los reciban en un formato estructurado, de uso común, de lectura mecánica e interoperable, y los transmitan a otro responsable del tratamiento.

Importante: Dicho derecho debe aplicarse solo cuando el interesado haya facilitado los datos personales dando su consentimiento o cuando el tratamiento sea necesario para la ejecución de un contrato.


Derechos del interesado en el RGPD - Portabilidad (art. 20)

Debe tenerse en cuenta que, al ejercer su derecho a la portabilidad de los datos, el interesado tiene derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

El ejercicio de este derecho se debe entender sin perjuicio del ejercicio del derecho de supresión.


Derechos del interesado en el RGPD - Oposición al Tratamiento (art. 21)

En los casos en que los datos personales puedan ser tratados lícitamente porque el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, o por motivos de intereses legítimos del responsable o de un tercero, el interesado debe, sin embargo, tener derecho a oponerse al tratamiento de cualquier dato personal relativo a su situación particular.

Debe ser el responsable el que demuestre que sus intereses legítimos imperiosos prevalecen sobre los intereses o los derechos y libertades fundamentales del interesado.



Si los datos personales son tratados con fines de mercadotecnia directa, el interesado debe tener derecho a oponerse a dicho tratamiento, inclusive a la elaboración de perfiles.

El interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar, (p.e. denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna)



Este tipo de tratamiento incluye la elaboración de perfiles consistente en cualquier forma de tratamiento de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar.



Este derecho no se aplicará si la decisión:

a) Es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento.

b) Está autorizada por la legislación vigente que se aplique al responsable del tratamiento y que establezca, asimismo, medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado (intervención humana, expresar su posición, e impugnar decision)

c) O se basa en el consentimiento explícito del interesado.



Sin embargo, se deben permitir las decisiones basadas en tal tratamiento, incluida la elaboración de perfiles, si lo autoriza expresamente la legislación vigente aplicable al responsable del tratamiento, incluso con fines de control y prevención del fraude y la evasión fiscal, realizada de conformidad con las reglamentaciones, normas y recomendaciones de las instituciones de la Unión o de los órganos de supervisión nacionales y para garantizar la seguridad y la fiabilidad de un servicio prestado por el responsable del tratamiento.

Tal tratamiento no debe afectar nunca a un menor de edad


Obligaciones del Responsable de Tratamiento

Información (base jurídica, transferencias internacionales, perfiles, DPO, …)Ejercicio de Derechos (ARCO, portabilidad, oposición, forma de ejercitarlos, …) Encargados de Tratamiento (contrato de prestación de servicios expreso, …)Análisis de Riesgo (tipos de tto., tipo de datos, volumen, objetivos, ..)Registro de Actividades (creación y mantenimiento, …)Protección de Datos desde el DiseñoNotificación de Violaciones de Sdad. (72 horas, naturaleza, alcance, medidas,... )Evaluación de Impacto (tto. masivo, consulta AEPD, …)DPOTransferencias Internacionales (en que casos, con autorizacion AEPD, …)Datos de Menores (medidas de verificación, …)


Obligaciones del Responsable de Tratamiento

Servicios de Cloud ComputingEnvio de Publciidad (consentimiento, ...)Uso de RRSS y Servicios Web (cookies, aviso legal, política de privacidad, …)


Aplicación de la LSSI - Prestadores de Servicios de Información

Art. 22.2 LSSI, podrán utilizar dispositivos de almacenamiento y recuperación de datos (cookies) en equipos terminales de los destinatarios, pero sólo a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en el Reglamento General.

- Aviso Legal- Política de Privacidad- Política de Cookies

Uso de RRSS, Web, ...

La dirección de correo electrónico de la que es titular una persona física constituye un dato de carácter personal

La dirección de correo electrónico aparecerá vinculada a un dominio concreto, por lo que solo será necesario consultar al servidor en que se gestione dicho servicio. Consecuentemente con ello, la dirección de correo electrónico de una persona física, en la medida que permite identificar a su titular sin el desarrollo de una actividad que exija un esfuerzo desproporcionado, constituye un dato de carácter personal y su tratamiento está sometido a las previsiones normativas contenidas en el Registro General.

Uso de mail, whatssap, ...

WhatsApp constituye una aplicación de mensajería para teléfonos inteligentes, que envía y recibe mensajes mediante internet, complementando servicios de correo electrónico, mensajería instantánea, servicio de mensajes cortos o sistema de mensajería multimedia.

Además de utilizar la mensajería en modo texto, los usuarios de la libreta de contactos pueden crear grupos y enviarse mutuamente imágenes, videos y grabaciones de audio.

Para su uso se necesita el número de teléfono del interesado, este es un dato de carácter personal.


RECOMENDACION EXPRESA: que el abogado que quiera utilizar WhatsApp como medio de comunicación con el cliente, con carácter previo haya recabado su consentimiento o autorización expresa para tal utilización.

Grupos: Resolución R/02302/2017 de la Agencia Española de Protección de Datos, que parte del principio de que para tratar datos de terceros se necesita siempre su consentimiento. Es una obligación del responsable del tratamiento (SAN de 25 de octubre de 2002, rec. 185/2001), a quien corresponde asegurarse de que aquel a quien se solicita el consentimiento efectivamente lo da,


Firma de Correo electrónico

" 1.º Que la presente información es estrictamente confidencial y por tanto está sometida a Secreto Profesional de conformidad a lo previsto en los artículos 542.3 de la LOPJ 6/1985, de 1 de julio; 32.1 del RD 658/2001, 22 de junio, por el que se aprueba el Estatuto General de la Abogacía; 5 del Código de Deontología de la Abogacía Española; y 5.3.1 del Código de Deontología de la CEE aprobado por el CGAE en sesión de 22 de septiembre de 1989”

“2.ª Que la información contenida en este correo electrónico y los ficheros anexos deberán ser leídos, exclusivamente, por la persona o entidad a quien van dirigidos, siempre y cuando tengan interés directo y legítimo en el asunto sin que su contenido pueda ser modificado. Si el destinatario de este mensaje tiene cualquier objeción a la utilización de este medio, deberá ponerse en contacto de inmediato con el Despacho de Abogados”



" 3.ª Que el receptor o destinatario no queda autorizado para el uso, o divulgación judicial o extrajudicial de esta comunicación sin previo consentimiento expreso y por escrito del Despacho de Abogados ni su uso será válido como prueba en procedimiento alguno”

“4.ª En caso de recibirlo por error, asume el compromiso a remitir a la persona correcta o devolver al Despacho de Abogados. Asume asimismo el compromiso de proceder al borrado o destrucción del mensaje y los ficheros anexos sin leer, copiar, grabar, distribuir, difundir o hacer cualquier otro uso de la información”

“5.ª El correo electrónico vía internet puede verse afectado por fallos técnicos u operacionales y no se garantiza su recepción de forma adecuada. Puede estar sujeto a retrasos y no permitir asegurar la confidencialidad o la correcta recepción de los mensajes, por lo que el Despacho de Abogados no asume ninguna responsabilidad por los posibles daños causados”



“6.ª Que los datos de carácter personal contenidos en el presente correo electrónico, han sido incorporados, y están siendo tratados en ficheros responsabilidad del Despacho de Abogados provista de CIF: X-XXXXXX, creados por resolución de la Agencia Española de Protección de Datos, y cuyo tratamiento tiene la finalidad de mantener la relación contractual existente, o mantenerle informado sobre noticias de su interés. Usted podrá en cualquier momento acceder, rectificar, cancelar u oponerse a este tratamiento, dirigiéndose por escrito al Despacho de Abogados con domicilio en ……………..., o si lo prefiere, por email a ………………………………… dpo@despacho de abogados.com, indicando en el campo asunto el motivo de su mensaje".


Figura del Encargado de Tratamiento

El encargado del tratamiento, tal como señala la Agencia Española de Protección de Datos, es la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable para realizar el tratamiento de datos personales por cuenta de este.

Corresponde al responsable decidir sobre la finalidad y los usos de la información, mientras que el encargado del tratamiento debe cumplir con las instrucciones de quien le encomienda un determinado servicio, respecto al correcto tratamiento de los datos personales a los que pueda tener acceso como consecuencia de la prestación de este servicio.



Servicios

Recogida, Registro, Organización, Estructuración, Conservación, Adaptación o modificación, Extracción, Consulta, Utilización, Comunicación por transmisión,, Difusión, o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Administradores de fincas, tratan y disponen de los datos de los copropietarios que resulten necesarios para la gestión ordinaria de los asuntos de la Comunidad en virtud de la relación contractual que les vincula con la Comunidad, en los términos acordados en la misma, y en el marco de la Ley de Propiedad Horizontal, (no solo RGPD)



La regulación de la relación entre el responsable y el encargado del tratamiento debe establecerse a través de un contrato que los vincule.

El contrato o acto jurídico debe constar por escrito, inclusive en formato electrónico, y debe establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

La ausencia de contrato es una infracción muy grave, sancionada duramente por el Reglamento General, ya que se interpreta que se está produciendo una cesión o comunicación ilegal de los datos del interesado, sin que medie su consentimiento.



Contenido del contrato

Las Instrucciones respecto del encargo realizadoLa confidencialidad en el tratamiento de los datosLa necesidad de adoptar medidas de seguridad adecuadas y eficaces en el tratamiento de los datos de carácter personalRégimen al que se sujeta la subcontratación (subencargados del tratamiento)El ejercicio de los derechos reconocidos en el Reglamento General por parte de los interesadosLa colaboración en el cumplimiento de las obligaciones del responsableEl destino de los datos a la finalización de la prestación o de la relación contractualLa colaboración con el responsable para demostrar el cumplimiento


Transferencias Internacionales de Datos

Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega)

Los responsables y encargados del tratamiento podrán realizar transferencias internacionales de datos sin necesidad de una autorización de la Agencia Española de Protección de Datos siempre que el tratamiento de datos observe lo dispuesto en el RGPD y en los casos siguientes.


Transferencias Internacionales de Datos - 1

La transferencia internacional de datos podrá realizarse a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate, garantizan un nivel de protección adecuado:

Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda, Estados Unidos (aplicable a las entidades certificadas en el marco del Escudo de Privacidad UE-EE. UU. Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016).

(ver relación de entidades certificadas: https://www.privacyshield.gov/list)



A falta de decisión de la Comisión, el responsable o el encargado del tratamiento podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas, y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.

a) Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.b) Las normas corporativas vinculantes (BCR).c) Las cláusulas contractuales tipo de protección de datos.d) Un código de conducta.e) O un mecanismo de certificación,



Todo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta puede invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de la Unión a organizaciones dentro del mismo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta, siempre que tales normas corporativas incorporen todos los principios esenciales y derechos aplicables con el fin de ofrecer garantías adecuadas para las transferencias o categorías de transferencias de datos de carácter personal.

La Agencia Española de Protección de Datos tiene que aprobar las normas corporativas vinculantes.


Manual práctico de implantación del Reglamento de Protección de Datos para despachos profesionales. Editorial SEPIN, septiembre 2018. Javier Puyol Montero. Socio Director de Puyol-Abogados.

Matemáticas. En realidad, ¿qué [...] es exactamente un algoritmo?. Sergio C. Fanjul. El Pais Economía. Retina, 24/03/2018.

¿Qué hacen con nuestros datos en internet?. El Pais, 12/06/2015. Gema Galdón Clavell.Homo Deus: Breve historia del mañana. Yuval Noah Harari. Debate, 2015.Por qué es importante proteger nuestra privacidad en internet. Carissa Véliz. The New York times, 4 de abril de 2018.

Bibliografía

Protección de Datos Personales en el Despacho · indirectamente, en particular mediante un...

Documents

Transcript of Protección de Datos Personales en el Despacho · indirectamente, en particular mediante un...