Tag Archives: Datos personales

Datos personales. Salvaguardas para el Brexit

Si tu empresa tiene algún proveedor, matriz, filial, partner o colaborador establecido en Reino Unido, es muy probable que esté transfiriendo datos personales a dicho país. En ese caso es sumamente conveniente saber qué puede hacerse, si finalmente llega el Brexit, para poder seguir transfiriendo esa información y beneficiándose de esas relaciones sin incumplir la normativa sobre protección de datos ni exponerse a duras sanciones por ello.

Y es que, una vez se haya consumado la desvinculación de Reino Unido, las comunicaciones de datos personales a dicho país serán consideradas como Transferencias Internacionales de Datos (TID), al pasar a ser un país tercero de la UE y del EEE.

El Reglamento General de Protección de Datos (RGPD) es la normativa más estricta en materia de privacidad a nivel mundial. De ello se deriva que, en caso de que los datos se envíen a un país fuera del Espacio Económico Europeo (EEE), el nivel de seguridad y garantías disminuyen. Así, la regla general es que no se permiten esos flujos de datos salvo que se cumpla alguno de los siguientes supuestos:

  • Que el país de destino de los datos cuente con una Decisión de Adecuación: la Comisión Europea, tras estudiar la normativa de privacidad del país, considera que reviste las garantías suficientes para estar acorde al nivel europeo, como ha sido el reciente caso de Japón el pasado 24 de enero. Sin embargo, aunque el Reino Unido ha adaptado su legislación nacional al Reglamento europeo de Protección de Datos (el RGPD), el Comité Europeo de Protección de Datos o CEPD (el antiguo Grupo de Trabajo del Artículo 29) ya apunta que, a día de hoy, no cuenta con tal decisión de adecuación y lo cierto es que su tramitación puede llevar un tiempo precioso durante el que no se pueden paralizar los flujos de datos al Reino Unido.
  • Que se hayan adoptado garantías adecuadas: aun sin contar el país de destino con una decisión de adecuación, se puede habilitar la transferencia de datos si se cuenta con alguna de las garantías que la avalan, de las cuales las más importantes son:
    • Cláusulas tipo: previsiones contractuales que obligan al receptor de los datos a adoptar medidas y garantías que permiten un nivel de protección equiparable al europeo.
    • Normas corporativas vinculantes: más conocidas por sus siglas en inglés, las BCR (Binding Corporate Rules), consisten en un conjunto de normas políticas o códigos de conducta jurídicamente vinculantes que un grupo de empresas diseña e implanta, con la finalidad de ofrecer las garantías suficientes para que las transferencias de datos intra grupo resulten seguras. Es un mecanismo exclusivo para los grupos empresariales, y deben presentarse a la Autoridad de Control pertinente para su revisión y, en su caso aceptación.
  • Códigos de conducta y mecanismos de certificación: estos mecanismos son una novedad introducida por el RGPD. Los códigos de conducta consisten en normas sectoriales de autorregulación, el planteamiento es similar al de las BCR pero en lugar de a un grupo industrial, aplicado a un sector empresarial. De otra, el RGPD establece la posibilidad de la creación de mecanismos de certificación en materia de protección de datos (tales como sellos o marcas) a fin de demostrar el cumplimiento de la normativa aplicable. El CEPD está actualmente trabajando en una serie de directrices para armonizar estas condiciones.
  • Que resulte aplicable alguna de las excepciones tasadas: el RGPD deja algo de margen, estableciendo que, aun cuando la TID esté dirigida a un destino que no se considere seguro, ni tampoco se haya blindado la comunicación con garantías adecuadas, se podrá llevar a cabo en caso de que se pueda amparar en algunas de las situaciones excepcionales que contempla. El CEPD ya advierte que, al tratarse de excepciones deben ser interpretadas de una manera estricta, debiendo acudir a las mismas sólo de manera ocasional y no como regla general.

De esta suerte, aun cuando el Reino Unido no lograra alcanzar un acuerdo antes de su marcha definitiva, o si dicho acuerdo no contempla previsiones en materia de protección de datos, no conllevaría necesariamente el aislamiento de flujos de datos personales de la UE, si bien su fluidez dependerá de la decisión que le merezca a la Unión Europea, y de la anticipación o rápida respuesta por parte de las empresas del resto de Europa que tengan relación con el Reino Unido.

Autores: Fernando Díaz y Ruth Benito
Visite nuestra página web: http://www.elzaburu.es/ 

Nueve cuestiones básicas sobre la nueva Ley de Protección de Datos (II)

Derechos digitales

Adicionalmente al campo de protección de datos, en su Título X la norma establece una discutida, entre los profesionales del sector, y discutible serie de previsiones en relación con derechos en el ámbito digital como son la neutralidad de Internet, su acceso

universal, su promoción en el ámbito educativo o la ampliación del derecho al olvido al ámbito de las RRSS.

En el ámbito laboral

En relación con el ámbito laboral establece una amplia protección a los trabajadores, descargando en el empleador la necesidad de adaptar sus políticas internas a factores nuevos como son:

  1. a) Protección de la intimidad en el uso de dispositivos digitales y acceso tasado a su contenido.
  2. b) Desconexión digital, a fin de garantizar el respeto al tiempo de descanso fuera del tiempo de trabajo.
  3. c) Mayor regulación de las condiciones para la videovigilancia y grabación de sonidos válida.
  4. d) Derecho de la intimidad del trabajador frente a sistemas de geolocalización.
Herencia digital

Salvo estipulación testamentaria en contrario, los herederos, personas vinculadas al fallecido y/o que hayan sido designadas por él, podrán acceder a sus contenidos en redes sociales y plataformas digitales y dar instrucciones a los prestadores de estos servicios sobre su uso, modificación, destino y eliminación.

Acceso a la primera parte de este post aquí

Autores: Ruth Benito y Fernando Díaz

Visite nuestra página web: http://www.elzaburu.es/

Nueve cuestiones básicas sobre la nueva Ley de Protección de Datos (I)

El 6 diciembre ha sido publicada en el BOE la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD) que fue aprobada por el Pleno del Senado el anterior 21 de noviembre.

Si bien el Reglamento General de Protección de Datos (RGPD) no deja a los Estados miembro de la UE un margen de actuación muy amplio, motivo por el que la nueva Ley se remite con frecuencia a dicho Reglamento, sin embargo, ésta sí contempla algunas previsiones novedosas que reflejamos en este post informativo.

El Delegado de Protección de Datos

Adicionalmente a las previsiones que ya contempla el Reglamento General de Protección de Datos (RGPD) al respecto, la norma establece un total de 16 supuestos en los que resulta preceptivo que se designe a un DPD.

Así, empresas de publicidad que lleven a cabo profiling, operadores que desarrollen la actividad del juego vía canales electrónicos, entidades aseguradoras, centros docentes o empresas de servicios de inversión relacionadas con el mercado de valores, entidades financieras y ciertas compañías energéticas, entre otras, se verán afectadas por esta previsión.

Transparencia e información

Mediante su artículo 11, la LOPDPGDD convierte en norma lo que hasta ahora venían siendo recomendaciones de la Agencia Española de Protección de Datos y del antiguo Grupo de Trabajo del Artículo 29 en relación con el sistema de información en doble capa.

De este modo, si ahora se acude a este método de información por niveles, necesariamente la primera capa deberá contener como mínimo los aspectos que este artículo 11 exige:

  1. La identidad del responsable y, en su caso, su representante.
  2. La finalidad del tratamiento.
  3. La posibilidad de ejercer los derechos de protección de datos.
  4. Si los datos no se obtienen directamente del titular, además el tipo de datos y su fuente de obtención.

Menores de edad

Mantiene el criterio del límite de edad en los 14 años e introducen previsiones en pro de la defensa del menor y su interacción con el ámbito digital, como son la posible intervención del Ministerio Fiscal en aquellos casos de utilización o difusión de imágenes e información personal de menores en las RRSS en caso de que estos supongan una intromisión ilegítima en sus derechos fundamentales.

Interés legítimo e interés público

Se recogen expresamente determinados tratamientos de datos respecto de los cuales se presume que el responsable tiene interés legítimo o que se llevan a cabo con base en el interés público.

Respecto a los primeros, encontraríamos los sistemas de información crediticia, la modificación estructural de sociedades o su traspaso y el caso de los datos de contacto de empresarios individuales y profesionales liberales, siempre y cuando su tratamiento se circunscriba únicamente al ámbito profesional en tanto a su localización y contacto para prestación de servicios especializados.

Por su parte, en relación con el interés público, tenemos la videovigilancia, los ficheros de exclusión publicitaria o los sistemas de denuncias internas.

La polémica sobre los partidos políticos

En sus disposiciones finales, la nueva LOPD contempla la modificación de la Ley del Régimen Electoral, permitiendo a los partidos políticos la recopilación y uso de datos recabados a través de páginas web y otras fuentes de acceso público, así como avalar el envío de propaganda electoral, incluso por vía electrónica, al confirmar que dicha propaganda no debe considerarse como comunicación comercial.

Desde un punto de vista técnico, destaca la consideración implícita de las páginas web como fuentes de acceso público, ya que hasta ahora Internet no era considerada como tal.

Sistema de sanciones

La norma concreta y gradúa las conductas infractoras de la normativa de protección de datos en las tradicionales categorías de (i) leve, (ii) grave y (iii) muy grave, manteniendo las cuantías ya asentadas en el RGPD, que oscilan entre un mínimo de 10.000.000€ o el 2% de facturación anual global y un máximo de 20.000.000€ o el 4% de facturación anual global.

 

Acceso a la segunda parte de este post aquí

Autores: Ruth Benito y Fernando Díaz

Visite nuestra página web: http://www.elzaburu.es/

¿Cuándo pueden las autoridades públicas acceder a los datos de las tarjetas SIM?

Acceso de las autoridades públicas a los datos electrónicos que permiten identificar a los titulares de las tarjetas SIM activadas con un teléfono móvil sustraído: no limitado a delitos graves al ser injerencia no grave en derechos fundamentales.

El 16 de febrero de 2015 el Sr. Hernández Sierra presentó una denuncia ante la Policía española por un robo con violencia, durante el cual resultó herido y le sustrajeron la cartera y el teléfono móvil. El Juzgado de Instrucción denegó el 5 de mayo de 2015 la solicitud efectuada por la Policía Judicial consistente en que se ordenase a diversos proveedores de servicios de comunicaciones electrónicas la transmisión de los números de teléfono activados, desde el 16 de febrero hasta el 27 de febrero de 2015, con el código IMEI del teléfono móvil sustraído, así como los datos personales o de filiación de los titulares o usuarios de los números de teléfono correspondientes a las tarjetas SIM activadas con dicho código, como su nombre, apellidos y, en su caso, dirección.

El Ministerio Fiscal recurrió en apelación la denegación de dichas diligencias, invocando la sentencia del Tribunal Supremo de 26 de julio de 2010 en un caso similar. La Audiencia Provincial de Tarragona decidió suspender el procedimiento, recordando la modificación de la Ley de Enjuiciamiento Criminal (operada por la Ley Orgánica 13/2015, de 5 de octubre, para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica) y planteó dos cuestiones prejudiciales ante el TJUE:

1.- ¿La suficiente gravedad de los delitos como criterio que justifica la injerencia en los derechos fundamentales reconocidos en los artículos 7 y 8 de la Carta de Derechos Fundamentales de la UE puede identificarse únicamente en atención a la pena que pueda imponerse al delito que se investiga o es necesario, además, identificar en la conducta delictiva particulares niveles de lesividad para bienes jurídicos individuales y/o colectivos?

2.- En su caso, si se ajustara a los principios constitucionales de la Unión, utilizados por el TJUE en su sentencia de 8 de abril de 2014 [Digital Rights Ireland y otros, C‑293/12 y C‑594/12, EU:C:2014:238] como estándares de control estricto de la Directiva, la determinación de la gravedad del delito atendiendo solo a la pena imponible ¿cuál debería ser ese umbral mínimo? ¿Sería compatible con una previsión general de límite en tres años de prisión?

El TJUE resuelve ambas cuestiones en su sentencia de 2 de octubre de 2018 (asunto C-207/16).

En esta sentencia se declara que, conforme al principio de proporcionalidad, en el ámbito de la prevención, investigación, descubrimiento y persecución de delitos solo puede justificar una injerencia grave el objetivo de luchar contra la delincuencia que a su vez esté también calificada de grave. Sin embargo, cuando la injerencia que implica dicho acceso no es grave, puede estar justificada por el objetivo de prevenir, investigar, descubrir y perseguir delitos en general.

Los datos solicitados por la Policía española solo permiten vincular, durante un período determinado, la tarjeta o tarjetas SIM activadas con el teléfono móvil sustraído y los datos personales o de filiación de los titulares de estas tarjetas SIM. Sin un cotejo con los datos relativos a las comunicaciones realizadas con esas tarjetas SIM y de localización, estos datos no permiten conocer la fecha, la hora, la duración o los destinatarios de las comunicaciones efectuadas con las tarjetas SIM en cuestión, ni los lugares en que estas comunicaciones tuvieron lugar, ni la frecuencia de estas con determinadas personas durante un período concreto. Por tanto, dichos datos no permiten extraer conclusiones precisas sobre la vida privada de las personas cuyos datos se ven afectados, no pudiendo calificarse de injerencia grave en los derechos fundamentales de esos individuos.

La injerencia que supone el acceso a dichos datos puede estar justificada por el objetivo de prevenir, investigar, descubrir y perseguir delitos en general, al que se refiere el artículo 15, apartado 1, primera frase, de la Directiva 2002/58, sin que sea necesario que dichos delitos estén calificados como graves.

En consecuencia, se declara que el acceso de las autoridades públicas a los datos que permiten identificar a los titulares de las tarjetas SIM activadas con un teléfono móvil sustraído, como los nombres, los apellidos y, en su caso, las direcciones de dichos titulares, constituye una injerencia en los derechos fundamentales de estos, consagrados en los citados artículos de la Carta, pero no presenta una gravedad tal que dicho acceso deba limitarse a la lucha contra la delincuencia grave en el ámbito de la prevención, investigación, descubrimiento y persecución de delitos en general.

Esperemos que esta sentencia contribuya a despejar las reticencias de nuestros Tribunales a la hora de prevenir, investigar, descubrir y perseguir cualquier tipo de delito en el que se requiera la adopción de medidas de investigación tecnológicas, ponderando los distintos intereses en juego pero sin frustrar las posibilidades reales de esclarecimiento de los hechos.

Autor: Juan José Caselles
Visite nuestra página web: http://www.elzaburu.es/

S.O.S. Incidente de seguridad

Desde el 25 de mayo, todos los días recibimos noticias y notificaciones de brechas de seguridad en empresas de primer nivel que dejan millones de datos de clientes al descubierto.

La realidad, por difícil que parezca, es que el número de brechas de seguridad no ha aumentado desde la fecha de aplicación del “Reglamento de 27 de abril de 2016, de protección de datos” (RGPD), sino que hasta ahora nuestra normativa no contemplaba la obligación de notificar una violación de seguridad salvo en el caso de operadores de servicios de comunicaciones electrónicas disponibles al público, mientras que el RGPD extiende esta obligación a cualquier empresa que trate datos.

Un incidente de seguridad es la destrucción, pérdida o alteración de datos personales por causas internas o externas, pudiendo ser accidentales o intencionadas. Frente a la posibilidad de que ocurra, lo más importante a tener en cuenta en cualquier empresa debería ser (i) tener definido un procedimiento de gestión de brechas de seguridad; (ii) disponer de herramientas para valorar el riesgo del incidente; y (iii) saber si deberá notificar a la autoridad de control y a los interesados en función de las características del incidente y el riesgo derivado del mismo para los interesados.

La notificación a la autoridad de control exigida por el RGPD se requiere cuando el incidente pueda provocar un riesgo para los interesados y debe hacerse en el plazo de 72 desde que se tiene certeza (constancia real) de que se ha producido. También se exige notificar a los afectados cuando el riesgo que se derive para ellos sea un riesgo alto y siempre que no se comprometa el resultado de una investigación en curso, en cuyo caso la comunicación se puede realizar más adelante, todo esto bajo la supervisión de la autoridad de control.

Adicionalmente, es crucial la respuesta temprana para tratar de mitigar las consecuencias del incidente mediante medidas de seguridad que frenen el acceso a los datos, su modificación o su lectura.

La única fórmula efectiva para evitar este mare magnum de obligaciones legales es la prevención; deben establecerse todas las medidas posibles para evitar las brechas de seguridad, incorporar impedimentos para la lectura y modificación no autorizadas de los datos y, por último, tener previsto un procedimiento de respuesta de incidentes para estos casos.

El Comité Europeo de Protección de Datos, antiguo Grupo de trabajo del Artículo 29 elaboró una “Guía sobre notificación de las violaciones de seguridad” que resuelve muchas de las cuestiones que generar dudas en este asunto. Asimismo, la AEPD publicó el 19 de junio de 2018 una “Guía para la gestión y notificación de brechas de seguridad” con directrices para detectar, gestionar y evaluar la notificación de brechas de seguridad.

Autores: Martín Bello y  Cristina Espín

Visite nuestra web: http://www.elzaburu.es/

Buscar

Formulario de suscripcion

Sí, soy humano*

Se ha enviado un mensaje de confirmación; por favor, haga clic en el enlace de confirmación para verificar su suscripción.
El email ya esta en uso
Tienes que escribir un email
Tienes que cliquear el captcha
El captcha no es correcto

Pincha para oir nuestros programas de radio

Archivo