Protecció de dades

La Agencia Española de Protección de Datos ha divulgado un documento sobre las consecuencias administrativas, disciplinarias, civiles y penales de la difusión de contenidos sensibles.

El documento explica las consecuencias para las empresas en el ámbito de trabajo diferenciando las infracciones muy graves con multas desde 6.251 hasta 187.515 euros y por las graves con multas desde 626 a 6.250 euros.

Como infracción muy grave en el ámbito laboral son los actos del empresario que son contrarios al respeto de la intimidad y consideración debida a la dignidad de los trabajadores. Por ejemplo, cita el propio documento, dos trabajadores hombres de una empresa sometidos a hostigamiento por parte de sus compañeros, incluyendo por quien ocupa cargo de responsabilidad, para mantener una relación sentimental siendo difundida la relación a través de imágenes y la dirección de la empresa conociendo la situación no adopta medidas para impedirlo.

(más…)

La Agencia Española de Protección de Datos ha publicado una Nota Técnica donde se facilitan directrices en relación al deber de informar y otras medidas de responsabilidad proactivas orientadas a las entidades involucradas en el desarrollo, distribución y explotación de aplicaciones móviles del ámbito de la educación, la actividad física, el bienestar y la salud.

Las conclusiones de esta nota giran entorno a dos grandes temas, por un lado el cumplimiento del deber de información y, por otra parte, la regulación de la relación entre el responsable del tratamiento de los datos y el proveedor que ha contratado para encargarle el desarrollo y / o la explotación de la aplicación, permitiéndole de este modo el acceso a datos personales.

En cuanto al deber de información, la AEPD señala que hay varios aspectos a los que los responsables del tratamiento deben prestar especial atención para garantizar el cumplimiento de la normativa y la seguridad de los datos personales de los interesados. Uno de los aspectos relevantes es que la información que se proporciona al interesado sobre el tratamiento de sus datos debe estar disponible tanto en la aplicación como en la tienda de aplicaciones. De este modo, se garantiza que el interesado tenga acceso a la información tanto antes de comprar la aplicación como durante su uso.

(más…)

Los que nos dedicamos al asesoramiento legal a menudo tenemos que explicar por qué existe la necesidad de tener una normativa en materia de protección de datos, con toda la carga que implica de obligaciones, conceptos jurídicos y sanciones. Esta necesidad legal se explica de forma comprensible por la necesidad de garantizar el derecho a la intimidad personal, de modo que la persona pueda tener siempre un control sobre sus datos de carácter personal y evitar que se haga un mal uso. Y eso pasa, inevitablemente, por el establecimiento de obligaciones a las organizaciones que recogen y tratan datos.

Imaginemos ahora que este control que la normativa reconoce a las personas no se haya de articular a través de un procedimiento de ejercicio de derechos, que puede tardar más de un mes en resolverse; imaginamos, por ejemplo, que la persona no tenga que hacer una solicitud para verificar, rectificar sus datos o suprimirlas en sus relaciones con una determinada organización o administración pública, sino que pueda ejercer este control sin que esta organización haya de recibir su solicitud ni contestarla. Imaginemos que la persona puede ejercer un control directo sobre sus propios datos, con quien compartirlas y de qué manera, con garantías de seguridad y legalidad. No necesitamos imaginar mucho más, porque esto es lo que plantea el modelo de identidad digital autogestionada que acaba de presentar la Generalidat de Catalunya, llamado IdentiCAT, el primero impulsado desde el sector público en Europa.

(más…)

Cuando un tratamiento, por su naturaleza, alcance, contexto o fines suponga un alto riesgo para los derechos y libertades de las personas físicas, especialmente cuando se utilicen nuevas tecnologías, el responsable de tratamiento deberá realizar una evaluación del impacto en la protección de datos (EIPD), que evalúe el origen, la naturaleza, la particularidad y gravedad del riesgo.

Ahora bien, ¿cuáles son los criterios que rigen para determinar si es necesario realizar una EIPD en un tratamiento de datos personales? En el artículo titulado «Las autoridades de control han publicado los listados orientativos del tipo de tratamientos que requieren una EIPD», se contaban los casos en que tanto la normativa en materia de protección de datos, como las autoridades de control determinan que hay que realizar una EIPD. Podéis revisar el artículo haciendo clic en el siguiente enlace: Las Autoridades de Control han publicado los listados orientativos de los tipos de tratamientos que requieren una evaluación de impacto relativa a la protección de datos

(más…)

Para facilitar el entendimiento de las obligaciones jurídicas y ayudar al cumplimiento del deber de transparencia y de la normativa de protección de datos personales en la contratación pública, el pasado 15 de julio, la Secretaría Técnica de la Junta Consultiva de Contratación Administrativa de la Generalidad de Cataluña publicó la nota informativa 1/2019.

El objetivo de la nota informativa es recordar, por un lado, la obligatoriedad de dar publicidad de la información general del órgano de contratación y de la información relativa a los contratos en el ámbito de la contratación, a través de los perfiles de contratante, en un espacio diferenciado en el Portal de transparencia, en concreto, en la Plataforma de Servicios de Contratación Pública (PSCP), teniendo en cuenta las conclusiones extraídas del informe de auditoría, Dictamen CNS 1/2019, realizado por la Autoridad Catalana de protección de datos (APdC) en los portales de transparencia de los procedimientos de contratación pública.

(más…)

El pasado mes de junio fue aprobada la Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo de 20 de junio de 2019, relativa a los datos abiertos y a la reutilización de la información del sector público. Se trata de una reforma de la Directiva 2003/98 / CE  elaborada a partir de las inquietudes y aportaciones manifestadas por empresas, asociaciones y personas interesadas.

El principal objetivo de esta modificación es conseguir explotar el potencial de la información de la que dispone el sector público para la economía y para la sociedad. Esto se debe a que la información del sector público representa una extraordinaria fuente de datos que pueden contribuir a mejorar el mercado único de la Unión Europea y al desarrollo de nuevas aplicaciones para los consumidores y las personas jurídicas.

(más…)

El pasado 28 de enero la Agencia Española de Protección de Datos (AEPD) publicó los ganadores de los premios de protección de datos en su web, después de haber recibido un total de 68 candidaturas entre las diferentes categorías.

La AEPD adjudica el premio de comunicación de protección de datos personales a Mediaset España, por la campaña de difusión y promoción entre los ciudadanos de los principios del derecho fundamental a la protección de datos. (más…)

El pasado 11 de diciembre se celebró una nueva jornada en La Unió dirigida a las entidades adheridas al Código Tipo para explicar las principales aportaciones de la recién entrada en vigor Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de Derechos Digitales, con Josep Maria Bosch y con Caterina Bartrons, gerente de Servicios Jurídicos de Faura-Casas.

(más…)

El pasado 7 de diciembre entró en vigor, después de su publicación en el Boletín Oficial del Estado, la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, con el objetivo de adaptar a nuestro ordenamiento jurídico el ya conocido Reglamento (UE) 2016/679 General de Protección de Datos, complementando y clarificando algunas cuestiones de gran relevancia.

Una de las cuestiones que ha concretado la nueva ley, ha sido la edad a partir de la cual los menores pueden prestar el consentimiento para el tratamiento de sus datos de carácter personal así como ejercer sus derechos en materia de protección de datos, fijándola en 14 años.

Otra novedad es la regulación de la protección de datos de las personas fallecidas, ya que sus familiares y/o herederos podrán ejercer el derecho de acceso, rectificación y supresión. El único límite a este ejercicio de derechos es que exista la prohibición expresa del difunto.

Respecto a la figura del Delegado de Protección de Datos, se establece un listado de entidades que estarán obligadas a contar con esta figura. Así pues, en el ámbito de la educación, estarán obligados todos aquellos centros docentes que ofrecen enseñanza en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas; y, en el ámbito de la salud, estarán obligados todos aquellos centros sanitarios que resulten legalmente obligados al mantenimiento de historias clínicas de pacientes.

La ley también determina que el Delegado de Protección de Datos no podrá ser removido ni sancionado, a excepción de aquellos supuestos en los que actúe con dolo o negligencia.

El ámbito sanitario también se ve afectado por las novedades introducidas por la citada ley que ha homologado todas las normas legales que forman la base que justifica el tratamiento de datos de salud. También, ha desplegado un catálogo de criterios por los que se regirán los tratamientos de datos en la investigación de salud.

En cuanto a las novedades introducidas en el ámbito laboral, la nueva ley actualiza las garantías del derecho a la intimidad en relación al uso de dispositivos de videovigilancia y de grabación de sonidos a los puestos de trabajo, al uso de los dispositivos digitales puestos a disposición de los trabajadores y en la utilización de sistemas de geolocalización en el ámbito laboral.

Además, se garantiza que los trabajadores puedan desconectar del trabajo durante su tiempo de descanso, vacaciones o permisos y disfruten de su intimidad personal y familiar con un nuevo derecho reconocido llamado derecho a la desconexión digital.

Dicha ley genera la obligación de cambio para el sistema educativo con la aparición del derecho a la educación digital. El objetivo de este derecho es garantizar la formación del alumnado en el uso de los medios digitales de manera segura y respetuosa con la dignidad humana, los valores constitucionales, los derechos fundamentales, la intimidad personal y familiar y la protección de los datos personales.

En el plazo de un año, el Gobierno deberá haber elaborado un proyecto de ley dirigido a garantizar estos derechos en el ámbito educativo y las administraciones educativas deberán haber incluido esta formación de competencia digital en el bloque de asignaturas de libre configuración. Asimismo, los profesores deberán recibir la formación necesaria para la transmisión de los valores y derechos anteriormente referenciados.

Otros derechos digitales reconocidos por dicha ley son el derecho de acceso universal a Internet, a la neutralidad de internet, la seguridad digital, a la rectificación tanto en medios digitales como las redes sociales y en la actualización de la información facilitada en medios de comunicación.

Otra novedad es la referida a la regulación de los sistemas de información crediticia, más conocidos como archivos de morosos, que establece 5 años como período máximo de inclusión de los datos del deudor a archivo. Este periodo de tiempo empezará a contar desde el vencimiento de la obligación dineraria, financiera o de crédito.

Se puede consultar el texto completo de la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales haciendo clic en el enlace.