Protecció de dades

El pasado mes de junio fue aprobada la Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo de 20 de junio de 2019, relativa a los datos abiertos y a la reutilización de la información del sector público. Se trata de una reforma de la Directiva 2003/98 / CE  elaborada a partir de las inquietudes y aportaciones manifestadas por empresas, asociaciones y personas interesadas.

El principal objetivo de esta modificación es conseguir explotar el potencial de la información de la que dispone el sector público para la economía y para la sociedad. Esto se debe a que la información del sector público representa una extraordinaria fuente de datos que pueden contribuir a mejorar el mercado único de la Unión Europea y al desarrollo de nuevas aplicaciones para los consumidores y las personas jurídicas.

(más…)

El pasado 28 de enero la Agencia Española de Protección de Datos (AEPD) publicó los ganadores de los premios de protección de datos en su web, después de haber recibido un total de 68 candidaturas entre las diferentes categorías.

La AEPD adjudica el premio de comunicación de protección de datos personales a Mediaset España, por la campaña de difusión y promoción entre los ciudadanos de los principios del derecho fundamental a la protección de datos. (más…)

El pasado 11 de diciembre se celebró una nueva jornada en La Unió dirigida a las entidades adheridas al Código Tipo para explicar las principales aportaciones de la recién entrada en vigor Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de Derechos Digitales, con Josep Maria Bosch y con Caterina Bartrons, gerente de Servicios Jurídicos de Faura-Casas.

(más…)

El pasado 7 de diciembre entró en vigor, después de su publicación en el Boletín Oficial del Estado, la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, con el objetivo de adaptar a nuestro ordenamiento jurídico el ya conocido Reglamento (UE) 2016/679 General de Protección de Datos, complementando y clarificando algunas cuestiones de gran relevancia.

Una de las cuestiones que ha concretado la nueva ley, ha sido la edad a partir de la cual los menores pueden prestar el consentimiento para el tratamiento de sus datos de carácter personal así como ejercer sus derechos en materia de protección de datos, fijándola en 14 años.

Otra novedad es la regulación de la protección de datos de las personas fallecidas, ya que sus familiares y/o herederos podrán ejercer el derecho de acceso, rectificación y supresión. El único límite a este ejercicio de derechos es que exista la prohibición expresa del difunto.

Respecto a la figura del Delegado de Protección de Datos, se establece un listado de entidades que estarán obligadas a contar con esta figura. Así pues, en el ámbito de la educación, estarán obligados todos aquellos centros docentes que ofrecen enseñanza en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas; y, en el ámbito de la salud, estarán obligados todos aquellos centros sanitarios que resulten legalmente obligados al mantenimiento de historias clínicas de pacientes.

La ley también determina que el Delegado de Protección de Datos no podrá ser removido ni sancionado, a excepción de aquellos supuestos en los que actúe con dolo o negligencia.

El ámbito sanitario también se ve afectado por las novedades introducidas por la citada ley que ha homologado todas las normas legales que forman la base que justifica el tratamiento de datos de salud. También, ha desplegado un catálogo de criterios por los que se regirán los tratamientos de datos en la investigación de salud.

En cuanto a las novedades introducidas en el ámbito laboral, la nueva ley actualiza las garantías del derecho a la intimidad en relación al uso de dispositivos de videovigilancia y de grabación de sonidos a los puestos de trabajo, al uso de los dispositivos digitales puestos a disposición de los trabajadores y en la utilización de sistemas de geolocalización en el ámbito laboral.

Además, se garantiza que los trabajadores puedan desconectar del trabajo durante su tiempo de descanso, vacaciones o permisos y disfruten de su intimidad personal y familiar con un nuevo derecho reconocido llamado derecho a la desconexión digital.

Dicha ley genera la obligación de cambio para el sistema educativo con la aparición del derecho a la educación digital. El objetivo de este derecho es garantizar la formación del alumnado en el uso de los medios digitales de manera segura y respetuosa con la dignidad humana, los valores constitucionales, los derechos fundamentales, la intimidad personal y familiar y la protección de los datos personales.

En el plazo de un año, el Gobierno deberá haber elaborado un proyecto de ley dirigido a garantizar estos derechos en el ámbito educativo y las administraciones educativas deberán haber incluido esta formación de competencia digital en el bloque de asignaturas de libre configuración. Asimismo, los profesores deberán recibir la formación necesaria para la transmisión de los valores y derechos anteriormente referenciados.

Otros derechos digitales reconocidos por dicha ley son el derecho de acceso universal a Internet, a la neutralidad de internet, la seguridad digital, a la rectificación tanto en medios digitales como las redes sociales y en la actualización de la información facilitada en medios de comunicación.

Otra novedad es la referida a la regulación de los sistemas de información crediticia, más conocidos como archivos de morosos, que establece 5 años como período máximo de inclusión de los datos del deudor a archivo. Este periodo de tiempo empezará a contar desde el vencimiento de la obligación dineraria, financiera o de crédito.

Se puede consultar el texto completo de la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales haciendo clic en el enlace.

La AEPD ha resuelto la consulta planteada por parte de los auditores de cuentas y sociedades de auditoría respecto a determinar si estos actúan como encargados del tratamiento de la entidad auditada o como responsables. La interpretación de la autoridad supone un cambio de paradigma en la línea seguida hasta el momento por parte de la gran mayoría de expertos en la materia, los cuales sostenían que los auditores eran encargados del tratamiento y no responsables del tratamiento. En base a la reciente decisión de la AEPD pero se concluye que los auditores de cuentas y las sociedades de auditoría actúan como responsables del tratamiento. El criterio definidor de la condición de responsable del tratamiento se fundamenta en el imperativo legal que faculta al auditor como figura independiente, no sometida a posibles instrucciones de su cliente. Por el momento, la AEPD no ha entrado a valorar ni a diferenciar si la auditoría externa se realiza por obligación legal o, si ésta se lleva a cabo de forma potestativa por parte de la entidad. (más…)

La figura del Delegado de Protección de Datos (en adelante, DPD) se convierte en obligatoria para organismos públicos, empresas que tratan datos personales de forma intensiva o datos sensibles a gran escala. En los supuestos en que la designación de un DPD no deviene imperiosa, la empresa puede decidir implantar la figura como ayuda al cumplimiento de la normativa de protección de datos.

El DPD se puede encontrar ante diferentes situaciones que dificulten llevar a cabo sus funciones. Siguiendo el esquema publicado en el artículo del blog de la Agencia Española de Protección de Datos (AEPD), “Riesgos a los que puede enfrentarse la laboral del Delegado de Protección de Datos”, procedemos a analizarlas: (más…)

Durante este mes de noviembre, nuestro equipo de Soporte Jurídico ha participado en varias sesiones de asesoramiento y de apoyo en relación al nuevo Reglamento de Protección de Datos así como acciones formativas y de apoyo dirigidas a Delegados de Protección de Datos.

A lo largo del mes, Caterina Bartrons, gerente de Servicios Jurídicos de Faura-Casas, ha realizado un curso sobre la actividad del Delegado de Protección de Datos en los centros educativos, en la Fundación Escuela Cristiana de Cataluña (FECC). Debido al éxito de asistencia y a la gran demanda existente, está previsto hacer una segunda edición en enero de 2019, con voluntad de aproximar conocimientos y facilitar la aplicación del RGPD en el entorno escolar. (más…)

Con el objetivo de apoyar a los centros educativos en el establecimiento de políticas y procedimientos adecuados para el tratamiento de los datos personales que deben llevar a cabo para el funcionamiento normal del centro, la Autoridad Catalana de Protección de Datos presentó el pasado 18 de octubre la Guía Pautas de protección de datos para centros educativos.

Se puede consultar el texto de la guía siguiendo este enlace. (más…)

El artículo 35.1 del Reglamento General de Protección de Datos establece la obligatoriedad por el responsable del tratamiento de realizar una evaluación de impacto cuando sea probable que el tipo de tratamiento de datos personales comporte un alto riesgo para los derechos y libertades de las personas físicas, ya sea por la utilización de nuevas tecnologías, por la naturaleza, alcance, contexto o incluso del tratamiento. El apartado 4 del mismo artículo prevé que la autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieren una evaluación de impacto referente a la protección de datos. Las autoridades de control que operan en nuestro territorio, Agencia Española de Protección de Datos y Autoritat Catalana de Protecció de Dades, a la fecha del presente artículo, no han publicado ninguna lista de los tipos de operaciones de tratamiento que requieren una evaluación de impacto. (más…)

Mientras observamos que en todas partes prolifera alegremente el uso de la huella digital como sistema de control de accesos ―y lo hemos visto en gimnasios, institutos, administraciones y empresas en general―, nos encontramos paradójicamente con una falta de criterios claros y oficiales sobre su tratamiento jurídico, que plantea no pocos problemas.

Con la entrada en aplicación del nuevo Reglamento General de Protección de Datos (RGPD), la huella digital, como dato biométrico que permite la identificación unívoca de una persona física, se considera un dato de categoría especial. ¿Qué significa esto? Que para su tratamiento será necesario contar con una justificación especial y tasada, como ocurre con los datos de salud o de ideología.

(más…)