LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS (DPO)

Conocida popularmente como DPO (en inglés, Data Protection Officer), el delegado de protección de datos (1) constituye uno de los elementos claves del Reglamento europeo de protección de datos (RGPD), y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.

Al Delegado de Protección de Datos, o DPO, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD (2) entre las que destacan las de informar y asesorar, así como supervisar el cumplimiento del RGPD por parte del responsable o encargado.

El DPO deberá contar con conocimientos especializados del Derecho, y en protección de datos, y actuará de forma independiente, aunque conviene precisar dos cuestiones al respecto:

  • El RGPD no exige que deba ser un jurista, pero sí que cuente con ese conocimiento en Derecho anteriormente citado;
  • El DPO podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.

La Agencia Española de Protección de Datos (AEPD) está impulsando junto con Entidad Nacional de Acreditación (ENA) los trabajos para desarrollar un modelo de certificación como Delegado de Protección de Datos, que será utilizado por aquellas entidades que deseen realizar certificaciones de este tipo.

En este sentido, el modelo en el que se está trabajando funcionará a través de dos esquemas de certificación:

  • un esquema que acredite aquellas entidades para que, a su vez, puedan actuar como certificadoras de Delegados de Protección de Datos. Corresponderá a ENAC acreditar a las mencionadas entidades, siempre y cuando acrediten cumplir el citado esquema.
  • Y otro esquema para certificar a Delegados de Protección de Datos, es decir, los requisitos necesarios para que se pueda obtener esta certificación.

Los dos esquemas serán aprobados por la Agencia Española de Protección de Datos durante el primer semestre de 2017, siendo la AEPD propietaria de los citados esquemas.

Esta certificación como DPO es totalmente voluntaria y, por tanto, para su ejercicio no es necesario poseer la misma, aunque obtenerla supone una garantía tanto de la competencia profesional certificada, como del ejercicio de la mencionada competencia.

(Fuente: Blog AEPD)

(1)

1. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
2. El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
3. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
4. Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.
5. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
6. El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

(2)

1. El delegado de protección de datos tendrá como mínimo las siguientes funciones:
a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
d) cooperar con la autoridad de control;
e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
2. El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

“EL DEBER DE INFORMAR” EN EL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS (RGPD)

La LOPD, nuestra normativa actual vigente, establece las siguientes obligaciones respecto de la información:

Comunicar la existencia del fichero o tratamiento, su finalidad y destinatarios.

  • Del carácter obligatorio o no de la respuesta, así como de sus consecuencias.
  • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • De la identidad y datos de contacto del responsable del tratamiento.

El RGPD añade requisitos adicionales en cuanto a la necesidad de informar a las personas interesadas, generalizando el concepto de “Tratamiento” (al que define como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”; no hace uso, el RGPD, del concepto “fichero”). Así, el RGPD obliga a incorporar:

  • Los datos de contacto del Delegado de Protección de Datos, en su caso,
  • La base jurídica o legitimación para el tratamiento,
  • El plazo o los criterios de conservación de la información,
  • La existencia de decisiones automatizadas o elaboración de perfiles,
  • La previsión de transferencias a Terceros Países
  • El derecho a presentar una reclamación ante las Autoridades de Control
  • Y además, en el caso de que los datos no se obtengan del propio interesado:
  • El origen de los datos
  • Las categorías de los datos

Así pues, los procedimientos, modelos o formularios diseñados de conformidad con la LOPD deberán ser revisados y adaptados por los Responsables de Tratamientos con anterioridad a la fecha de plena aplicación del RGPD, (25-5-2018) incorporando los nuevos requisitos que, amplían y no contradicen la obligación de informar establecida en la LOPD.

Si los datos se obtienen directamente del interesado, la información debe ponerse a disposición de éstos en el momento en que se les soliciten los datos, previamente a la recogida o registro.

Si los datos no nos los proporciona el propio interesado, debido a que los obtenemos de alguna cesión legítima, o proceden de fuentes accesibles al público, el Responsable del Tratamiento deberá informar a las personas interesadas dentro de un plazo razonable, pero en cualquier caso:

  • Antes de un mes desde que se obtuvieron los datos personales,
  • Antes o en la primera comunicación con el interesado,
  • Antes de que los datos, en su caso, se hayan comunicado a otros destinatarios

No hará falta para ello ningún requerimiento, y el responsable deberá poder acreditar con posterioridad que la obligación de informar ha sido satisfecha.

La información a las personas interesadas debe proporcionarse:

  • con un lenguaje claro y sencillo,
  • de forma concisa, transparente, inteligible y de fácil acceso

¿Cómo compatibilizar la mayor exigencia de información que introduce el RGPD y la concisión y comprensión en la forma de presentarla?. Las Autoridades de Protección de Datos recomiendan adoptar un modelo de información por capas o Niveles, o sea, presentar una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos, y remitir a la información adicional en un segundo nivel, donde se presentarán detalladamente el resto de las informaciones, en un medio más adecuado para su presentación, comprensión y, si se desea, archivo.

 (Fuente: AEPD)

 

 

25 DE MAYO: LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS CELEBRARÁ SU 9ª SESIÓN ANUAL ABIERTA

A un año vista para que sea de plena aplicación en todos los Estados miembros el nuevo Reglamento Europeo de Protección de Datos (el 25 de mayo de 2018), la Agencia Española de Protección de Datos celebrará su 9ª Sesión Anual Abierta, que tendrá lugar en el Centro de Conferencias Fundación Pablo VI.

Se abordarán de manera detallada, entre otros temas, las novedades del Reglamento General de Protección de Datos y, especialmente, su implementación práctica en las organizaciones, así como las actividades realizadas por la Agencia, las novedades legislativas y jurisprudenciales, y los principales retos que afronta este derecho fundamental.

(Fuente: AEPD)

EL TRIBUNAL SUPREMO (TS) SENTENCIA QUE NO ES OBLIGATORIO, CON CARÁCTER GENERAL, EL REGISTRO DE LA JORNADA DIARIA DE TODOS LOS TRABAJADORES

Se conoció el pasado 5 de Abril la Sentencia del Tribunal Supremo 246/2017, de 23 de marzo de 2017. En la misma, el TS contradice la doctrina hasta ahora mayoritaria de los Tribunales Superiores de Justicia y las últimas sentencias de la Audiencia Provincial (aunque hubo hasta 3 votos particulares, firmados por 5 de los 13 magistrados que la suscriben, contrarios a la Sentencia).

Se establece en la Sentencia que no es obligatorio para las empresas registrar con carácter general la jornada diaria de los trabajadores a tiempo completo (interpretando que el artículo 35.5 de la Ley del Estatuto de los Trabajadores se refiere a la obligación de registrar, solamente, las horas extras que se realicen, y no el hacerlo de toda la jornada).

En cambio, no varía la obligación del registro de la jornada diaria, y la entrega mensual del resumen, en los supuestos de:

  • Trabajadores a tiempo parcial (art. 12.4 E.T.).
  • Trabajadores móviles del transporte, del mar y ferroviarios (RD 1561/1995).
  • Trabajadores en los que la obligación se establezca en convenio o pacto.

Además, como establece la Sentencia, hay que llevar también el registro diario de las horas extraordinarias, y entregar un resumen mensual, a los trabajadores a tiempo completo que las realicen, y a sus representantes (si los hay).

Consúltenos sobre cómo le afecta a su empresa (a nivel de normativa de protección de datos) la legitimación de los registros de jornada laboral.

CÓMO RECLAMAR TUS DERECHOS EN MATERIA DE TELECOMUNICACIONES

Para fomentar la concienciación de los ciudadanos sobre las garantías y los derechos que les asisten y cómo ejercerlos, la AEPD lanza un espacio web para ayudar a los ciudadanos a reclamar sus derechos en materia de telecomunicaciones

Existen varios organismos competentes en esta materia, por lo que resulta fundamental que el ciudadano sepa ante cuál tiene que presentar su reclamación en función de las circunstancias concretas y cómo debe hacerlo

La Agencia Española de Protección de Datos (AEPD) ha publicado un espacio web para ayudar a los ciudadanos a reclamar sus derechos en materia de telecomunicaciones.

Una gran parte de las denuncias que recibe la Agencia en asuntos como la inserción indebida en ‘ficheros de morosidad’ o la contratación irregular tiene relación con el sector de las telecomunicaciones; y al ser varios los organismos públicos con competencias en esta materia, resulta fundamental que el ciudadano conozca ante qué organismo debe presentar su reclamación en función de las causas que la motivan.

El espacio web está dividido en cuatro espacios:

  • Qué puedo reclamar y Dónde debo dirigirme;
  • Cómo puedo reclamar;
  • Preguntas frecuentes, donde los ciudadanos encontrarán la respuesta a casos concretos; y
  • Qué documentación tengo que presentar en caso de contratación irregular o fraudulenta, por deudas derivadas de servicios de telecomunicaciones o por inclusión indebida en guías de abonados.

El objetivo es que los consumidores y usuarios sepan ante qué organismo pueden reclamar sus derechos en función de su problema concreto

  • disconformidad con la factura recibida,
  • incumplimiento de oferta,
  • contratación irregular de un servicio,
  • información engañosa,
  • cláusulas abusivas,
  • etc.

La inserción indebida en ficheros de morosidad (la incorporación a un fichero de este tipo tiene unos efectos especialmente negativos para los consumidores) y la contratación irregular, se encuentran entre las principales reclamaciones que plantean que los ciudadanos a la AEPD.

Si como particular o como empresa se encuentra en alguna de estas situaciones, el equipo de profesionales de Logic Data Consulting podemos orientarle para tramitar su caso ante la AEPD o ante el organismo correspondiente.

(Fuente www.agpd.es )

Los abonados de empresas de telefonía de cualquier país miembro de la Unión Europea que consienten el uso de sus datos a la operadora en su país, también consienten el que éstos sean utilizados en otros Estados miembros

(para facilitar información del abonado y para su inclusión en guías de abonados de otros Estados miembros)

En su sentencia de 15 de Marzo sobre el Asunto C-536/15 el Tribunal de Justicia de la Unión Europea (TJUE) considera que el artículo 25.2 de la Directiva de Servicio Universal debe interpretarse en el sentido de que el concepto de «solicitud» comprende también a aquellas solicitudes de datos hechas por empresas establecidas en un Estado miembro (distinto de aquel en el que están establecida la empresa que asignan un números de teléfono a sus abonados) y que solicita la información de la que dispone la empresa asignataria del número de teléfono para prestar ella, a su vez, servicios de información sobre números de abonados y suministrar guías de abonados accesibles al público en ese Estado miembro o en otros.

Añade la sentencia, además, que dicha norma no hace distinción en función de que la solicitud de los datos relativos a los abonados se realice por una empresa establecida en el mismo Estado miembro o por una empresa establecida en otro Estado miembro distinto, debido a que su finalidad es garantizar la existencia de servicios de buena calidad accesibles al público en toda la UE a través de una competencia y una libertad de elección reales. Si la disposición sólo fuera aplicable a las solicitudes planteadas por empresas radicadas en el Estado miembro en el que están establecidas las empresas que asignan los números telefónicos a los abonados, sería contraria al objetivo de garantizar la disponibilidad en toda la UE de servicios de buena calidad, objeto principal del art. 25.2.

Finalmente, el TJUE se pronuncia al respecto de si las empresas deben obtener el consentimiento de sus abonados para el uso de datos en la publicación de guías telefónicas de manera diferenciada en función del Estado miembro al que dichos datos pueden ser transmitidos, en el sentido de que, cuando un abonado ha consentido en la transmisión de datos de carácter personal que le conciernan a una empresa determinada para su publicación en una guía pública de esta empresa, la transmisión de dichos datos a otra empresa ubicada en un Estado miembro distinto, que desee publicar una guía sin que dicho abonado haya renovado su consentimiento, no vulnera el contenido esencial del derecho a la protección de datos de carácter personal. No será preciso, pues, que la empresa solicite de nuevo el consentimiento del abonado.

EL POSIBLE “NO DERECHO AL OLVIDO” DE LAS PERSONAS QUE EJERCEN UN PAPEL EN LA VIDA PÚBLICA

El derecho al olvido no se aplica de igual manera a las personas que ejercen un papel en la vida pública. Ya en la Ley Orgánica 1/1982, de 5 de mayo (del derecho al honor, a la intimidad personal y familiar y a la propia imagen) se establece que el derecho a la propia imagen “no impedirá su captación, reproducción o publicación por cualquier medio, cuando se trate de personas que ejerzan un cargo público o una profesión de notoriedad o proyección pública, y la imagen se capte durante un acto público o en lugares abiertos al público, ni tampoco cuando predomine un interés histórico, científico o cultural relevante”.

Este puede ser, por ejemplo, el caso reciente de la Infanta Cristina de Borbón, que tuvo una gran trascendencia en la opinión pública dada la gravedad y la actualidad de los hechos, que acabó con su marido -Iñaki Urdangarín- condenado a seis años y tres meses de prisión y a que ella, a pesar de haber sido absuelta de delito fiscal, tuvo que abonar una importante cantidad al atribuírsele la participación a título lucrativo.

De llegar a solicitarlo en un futuro, quizá a la Infanta no se le llegue a reconocer el derecho al olvido de todas las filmaciones del “caso Nóos” (entre ellas, las imágenes de la Infanta sentada en el banquillo de los juzgados de Palma de Mallorca) debido a que -siendo quien es- podría considerarse un hecho de interés histórico, amén de que las imágenes fueron captadas con su conocimiento y en lugares públicos.