Protecció de dades

El Gobierno Español aprueba el proyecto de Ley Orgánica de Protección de Datos de carácter personal

El 10 de noviembre de 2017 el Consejo de Ministros aprobó el Proyecto de Ley Orgánica de Protección de Datos, a propuesta del ministro de Justicia, Rafael Català. Esta adaptará la legislación española a las disposiciones del Reglamento UE 2016/679, que se aplicará a partir del próximo 25 de mayo de 2018.

En el caso español, la adaptación de la legislación al Reglamento General de Protección de Datos (RGPD) requiere la elaboración de una nueva Ley Orgánica, sustituyendo la actual. Ahora bien, hay que indicar que la Agencia Española de Protección de Datos también debe desarrollar cuestiones concretas dado que el reglamento comunitario remite a las autoridades nacionales de control ciertos aspectos.

El RGPD introduce novedades en la regulación del derecho fundamental de protección de datos, regulado en el artículo 18.4 de la Constitución española, y que uno de sus objetivos es acabar con la fragmentación existente en las diferentes normativas de los estados comunitarios. Asimismo, también persigue la adaptación de la normativa de protección de datos a la rápida evolución tecnológica y los cambios producidos por el desarrollo de la sociedad de la información y la globalización.

Más concretamente, el nuevo marco normativo recoge novedades tanto en el régimen del consentimiento, como en el del tratamiento e introduce nuevos procedimientos y figuras.

En relación con el régimen del consentimiento la normativa española avanza a los 13 años la edad, antes 14, para consentir el tratamiento de datos, en consonancia con la normativa de otros países europeos. Otra novedad es que se considera el tratamiento de los datos de personas fallecidas en base a la solicitud de sus herederos. Además, se excluye la figura del consentimiento tácito que se sustituye por una acción afirmativa y expresa por parte del afectado. En caso de inexactitud de los datos personales obtenidos de forma directa, se excluye la imputabilidad del responsable del tratamiento si éste ha adoptado las medidas razonables para la rectificación o supresión de estas.

En cuanto al tratamiento de datos se incorpora el principio de transparencia que supone el derecho de los afectados a ser informados sobre el tratamiento de sus datos, regulando de forma expresa los derechos de los afectados, que son: el derecho de acceso, rectificación , supresión, oposición, a la limitación del tratamiento ya la portabilidad.

Además, se introducen supuestos en que se contempla como presunción la prevalencia del interés legítimo del responsable del tratamiento de los datos en cumplimiento de determinados requisitos, como en el caso de sistemas de información crediticia. Asimismo, se regulan situaciones en las que se aprecia la existencia del interés público, como por ejemplo las relacionadas con la videovigilancia, los sistemas de exclusión publicitaria (lista Robinson), la función estadística pública y las denuncias internas en el sector privado.

Relacionado con el procedimiento, se promueve la existencia de mecanismos de autorregulación, tanto en el sector público como privado. También se introduce la obligación de bloqueo de los datos para garantizar que estas quedarán a disposición del tribunal correspondiente, el Ministerio Fiscal o autoridades competentes con el fin de exigir responsabilidades derivadas de su tratamiento y que no puedan ser borradas para encubrir su incumplimiento.

Por último, una de las novedades más relevantes y que genera más dudas a las entidades es la potenciación de la figura del delegado de protección de datos, que su designación debe ser comunicada a la autoridad competente.

Una vez expuesto lo anterior y a seis meses de la aplicación del Reglamento General de Protección de Datos, se recomienda a las entidades que revisen sus documentos, formularios, procedimientos y otros aspectos relacionados con el tratamiento de datos de carácter personal para lal adaptación al nuevo marco normativo dado que las novedades, como se ha podido observar, no son pocas.

Más detalle en:

Ministerio de Justicia

Código de buenas prácticas en protección de datos para proyectos BIG DATA

La Agencia Española de Protección de Datos conjuntamente con el ISMS Forum Spain publicaron el último mes de mayo el Código de buenas prácticas en protección de datos para proyectos de Big Data. Con esta guía se pretende globalizar las apreciaciones que se hacen desde ambas entidades respecto a los proyectos de Big Data y la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), así como la normativa de desarrollo y el Reglamento General de Protección de Datos (RGPD).

Se entiende como Big Data a un conjunto de tecnologías, algoritmos y sistemas empleados con el fin de recolectar datos a gran escala y extraer información de valor mediante sistemas analíticos avanzados de forma automatizada. Este tratamiento sobre los datos se caracteriza por hacerse sobre un gran volumen de datos, muy variables y a una velocidad que puede llegar a ser en tiempo real en algunos casos.

Desde un punto de vista arquitectónico o estructural, un proyecto de Big Data puede ser analizado desde diferentes capas principales: la de fuentes de datos (origen de la información), integración de estas en la base de datos, almacenamiento con recursos adecuados para ser analizada y gestionada, así como, la última capa, la presentación y aplicación en diferentes procesos.

El código se presenta como un análisis de la normativa que operará a partir del 25 de mayo de 2018, el RGPD, y las consideraciones que se deben tener en cuenta en caso de que la organización desee sumergirse en un proyecto de Big fecha. Así, recuerdan la necesidad de cumplir con los principios básicos de la normativa de protección de datos con respecto al derecho de información y el consentimiento, ligando con la necesidad de estructurar una organización transparente la que los usuarios puedan confiar debido a la constante información y facilidad de encontrarla en relación a sus derechos garantizados por el RGPD, es decir, actualización de las finalidades las que se recaba los datos siempre ligadas a la finalidad inicial que lo motivaron así como, en especial, información sobre los derechos de acceso, rectificación, supresión, oposición así como los nuevos derechos que se incorporan, es decir, limitación, portabilidad o el derecho a no ser sometido a tratamientos basados ​​únicamente en decisiones automatizadas individuales. También, recuerda la necesidad de tener definidos e integrados dentro del gobierno interno los principios de minimización de los datos y calidad, a partir de la cual se recauden únicamente los datos que sean estrictamente necesarios para el objetivo que queremos alcanzar y en definitiva, no pedir datos en previsión de que puedan ser útiles en un futuro o definido textualmente, datos “por si acaso”.

Aparte de los principios básicos de la normativa de protección de datos, se recuerda la necesidad de regular debidamente las relaciones con terceros (encargados del tratamiento) y la definición de las responsabilidades de cada agente operativo dentro de este tratamiento, así como la asunción interna del concepto accountability o responsabilidad de la entidad a implantar medidas y establecimiento de mecanismos internos y / o externos para evaluar la fiabilidad y poder demostrar su efectividad ante las autoridades de control, así como la privacidad en el diseño (Privacy by design) traducido en la necesidad de que cualquier proyecto de estas características se inicie teniendo en cuenta los principios que la legislación en la materia establece con el fin de evitar tener que redefinir los sistemas y procesos continuamente implicando, en su caso, gastos asociados a la implantación de los requerimientos legales.

 

 

También se realiza una especial mención a las evaluaciones de impacto o AIPD, a partir de las cuales se aconseja que las organizaciones que las lleven a cabo antes del inicio del tratamiento de datos enfocado al Big Data para poder identificar los riesgos asociados a los procesos de identificación, análisis y recolección de información especialmente en cuanto los procesos de anonimización de los datos y la irreversibilidad en la identificación. Se recuerda que es necesario hacer una evaluación de las técnicas y procedimientos de anonimización para acreditar que la disociación realizada evita que se pueda identificar a una persona física dentro del conjunto de datos o que se pueda relacionar o enlazar la información de una persona física a partir de la vinculación de dos registros dentro del conjunto de los datos, así como se pueda inferir cualquier información sobre la persona física en el conjunto. Finalmente, se hace alusión a que, ante una conclusión negativa o de riesgos a los derechos de los usuarios en la AIPD, la Entidad requerirá acudir a la autoridad de control para que ésta le asesore.

Se recomienda la realización de un proyecto piloto con una pequeña muestra ficticia de datos de la que se pueda extraer, objetivamente, conclusiones respecto a la viabilidad de las técnicas de anonimización y el procedimiento.

Por último, destacamos la presentación de una cuadro / resumen sobre las estrategias de privacidad más adecuadas para cada una de las fases que conforman la cadena de valor de Big Data:

FASE BIG DATA ESTRATEGIA IMPLEMENTACIÓN
Adquisición y recolección Minimizar ·         Seleccionar antes de adquirir

·         Realizar una AIPD

 

Agregar ·         Anonimización en la fuente de origen
Ocultar ·         Herramientas de cifrado

·         Herramientas de enmascaramiento de datos

Informar ·         Transparencia – Comunicación al interesado
Controlar ·         Mecanismos para recabar el consentimiento.
Análisis i validación Agregar ·         Técnicas de anonimización
Ocultar ·         Herramientas de cifrado
Almacenamiento Ocultar ·         Herramientas de cifrado

·         Mecanismos de autenticación y control de acceso

Separar ·         Almacenamiento distribuido o descentralizado
Explotación Agregar ·         Técnicas de Anonimización
     
Aplicable a todas las fases Cumplir y demostrar ·         Definición de políticas, trazabilidad de las acciones y herramientas para garantizar cumplimiento.

 

Más información: Guia Big Data AEPD-ISMS Forum

La AEPD publica su memoria 2016 concluía que la inserción indebida en archivos de morosidad y la contratación irregular concentran más del 65% de las sanciones impuestas

La Agencia Española de Protección de Datos publicó el 29 de junio la Memoria 2016, en la que se recogen de forma detallada las actividades realizadas por esta institución, las tendencias más destacadas y las decisiones y procedimientos más relevantes del año. Asimismo, analiza los retos del presente y futuro en materia de protección de datos, subrayando que el año 2016 fue un año especialmente importante por tres motivos:

  • La aprobación del Reglamento General de Protección de Datos, que será aplicable a partir del 25 de mayo de 2018.
  • El impulso y desarrollo de las 113 actuaciones recogidas en el Plan Estratégico 2015 hasta 2019 de la AEPD.
  • La sentencia del TJUE que declaró inválida la Decisión de Puerto Seguro. Como consecuencia, se produjo un importante incremento de las solicitudes de autorización basadas en la aportación de garantías contractuales, recibiéndose 737 solicitudes durante 2016 frente a las 128 que se registraron durante el 2015, llegándose a conceder 499 el año 2016.

Uno de los primeros puntos que la memoria hace mención son las denuncias y reclamaciones, indicando que durante el año 2016 tuvieron entrada 10.523 denuncias y reclamaciones de tutela de derechos. De este número de entradas, 7.935 fueron denuncias y 2.588 fueron reclamaciones, pudiendo observar que mientras las denuncias se han reducido un 6,53% respecto al año anterior, las reclamaciones se han incrementado un 24,30%.

Una vez explicado esto, en relación a la naturaleza de las denuncias tramitadas, son relevantes los casos de inclusión indebida en ficheros de morosidad y contratación irregular que suponen un 21,5% y 11,3% de las resoluciones sancionadoras de la AEPD y más del 65% del importe global de las sanciones impuestas.

En cuanto al incremento del número de reclamaciones de tutela de derechos presentadas a la AEPD, la Agencia lo justifica en su memoria con la mayor preocupación por parte de los ciudadanos para que aquellos terceros que tratan su información personal lo dejen de hacer cuando así lo soliciten los interesados. El derecho de cancelación ha sido un año más el derecho más reclamado, refiriéndose a la inclusión indebida en ficheros de solvencia casi el 25% de las reclamaciones planteadas.

Asimismo, durante el año 2016 la AEPD retomó las inspecciones sectoriales de oficio, con la realización del Plan de Inspección sectorial de sanidad, la inspección del Sistema de Información de Visados y Schengen.

En segundo lugar, en relación con las infracciones declaradas durante el año anterior, la Agencia destaca el incremento en un 16,7% de los procedimientos de prevención respecto al 2015 y una reducción del 21% en el número de infracciones con sanción económica. En la publicación también se hace mención al hecho de que en muchas ocasiones las investigaciones permiten a la AEPD advertir al denunciado en vez de imponer una sanción, exigiendo la corrección de la conducta y la adopción de las medidas correspondientes. Ahora bien, también se indica que el importe global de las sanciones económicas, que supone un importe de 14.190.173 euros, ha subido un 3,48% respecto a 2015.

En el caso de las Administraciones Públicas, se resolvieron 56 procedimientos de infracción, correspondiente 23 a la Administración Local, 20 a la Administración Autonómica, 10 a la Administración General del Estado y 3 a otras entidades de derecho público.

En cuanto a las sentencias de la Audiencia Nacional en relación a recursos interpuestos contra resoluciones de la Agencia, en la memoria se indica que de las 74 sentencias dictadas en 2016, un 78% confirmaron los criterios de la AEPD.

En tercer lugar, también es interesante mencionar que se atendieron aproximadamente 237.000 consultas planteadas por los ciudadanos, siendo los temas más consultados los relacionados con la inscripción de ficheros, comunidades de vecinos o videovigilancia. Sin embargo, respecto a las consultas telefónicas y presenciales sobre el ejercicio de derechos, más de la mitad (53,34%) fueron sobre el derecho de cancelación, a las que hay que sumar un 26,56% que solicitar información específica sobre el derecho al olvido.

En relación al Canal Joven, que es el área específica de la AEPD para potenciar la comunicación con los menores, padres y profesores, ha atendido aproximadamente unas 700 consultas siendo planteadas por padres, miembros de la comunidad educativa, servicios sociales y sanitarios.

En cuarto y último lugar, en la publicación se indica que en el año 2016 finalizó con más de 4,5 millones de ficheros inscritos en el Registro General de Protección de Datos, apuntando que de estos el 96,41% fueron de titularidad privada y el 3,59% fueron de titularidad pública.

 

Para más información y detalle se puede consultar:

Para más información puede consultar Memoria_AEPD_2016

 

Uso de cookies

Utilizamos cookies propias y de terceros para mejorar tu experiència como usuario mientras navegas por nuestro sitio web. Si continua navegando, consideramos que aceptas su uso. Puedes cambiar la configuración u obtener más información política de cookies aquí.