25 DE MAYO: LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS CELEBRARÁ SU 9ª SESIÓN ANUAL ABIERTA

A un año vista para que sea de plena aplicación en todos los Estados miembros el nuevo Reglamento Europeo de Protección de Datos (el 25 de mayo de 2018), la Agencia Española de Protección de Datos celebrará su 9ª Sesión Anual Abierta, que tendrá lugar en el Centro de Conferencias Fundación Pablo VI.

Se abordarán de manera detallada, entre otros temas, las novedades del Reglamento General de Protección de Datos y, especialmente, su implementación práctica en las organizaciones, así como las actividades realizadas por la Agencia, las novedades legislativas y jurisprudenciales, y los principales retos que afronta este derecho fundamental.

(Fuente: AEPD)

¿ ES LEGAL LA INSTALACIÓN DE CÁMARAS DE VIDEO-VIGILANCIA FALSAS O SIMULADAS CON FINES DISUASORIOS ?

La captación de imágenes a través de cámaras de vídeo vigilancia constituye un tratamiento de datos personales, y por tanto, el tratamiento de dichos datos debe estar sometido a los principios y obligaciones derivados de la LOPD y la Instrucción 1/2006 de la Agencia Española de Protección de Datos.

No obstante, se nos plantean diversas cuestiones en relación con la instalación de videocámaras simuladas.

Dado que no existe tratamiento de datos, esto es, la grabación de imágenes, ni siquiera la mera reproducción de las mismas… ¿es legal instalar cámaras falsas con la finalidad de simular la video vigilancia? ¿Nos encontramos ante un supuesto sometido a la LOPD y a la Instrucción de video vigilancia?

Lejos de emitir algún informe al respecto que aclarase estas dudas de forma taxativa, la Agencia Española de Protección de Datos, venía aplicando un criterio restrictivo en las resoluciones derivadas de procedimientos sancionadores, apercibiendo a los responsables que instalaban cámaras falsas, “En el supuesto presente, no existe constancia de que las cámaras instaladas en el lugar denunciado funcionen y capten imágenes de personas, por lo que de acuerdo con los principios de presunción de inocencia, procede el archivo las presentes actuaciones”, así como solicitando la retirada de las cámaras simuladas, “resultaría plenamente fundada la imposición de una sanción si en el futuro continuaran ubicadas las cámaras en el establecimiento, pues tal circunstancia podría constituir prueba indiciaria suficiente para determinar que las citadas cámaras se encuentran en funcionamiento, pudiendo imputarse la comisión de las infracciones que resulten de la aplicación de la LOPD que podrían ser sancionadas, de conformidad con el régimen sancionador previsto en la citada Ley, con multas de hasta 300.506,05 €“, amén de algunas resoluciones que acordaban la imposición de sanciones a aquellos que, tras haber sido apercibidos y requeridos a retirar las cámaras falsas en primera instancia, no las hubieren retirado.

De dichas resoluciones había que extraer la conclusión de que a la Agencia Española de Protección de Datos no le hacía gracia la instalación de cámaras simuladas, y por tanto, ponía impedimentos, obligando a la desinstalación o, en su defecto, al cumplimiento de la normativa aplicable. No obstante, y a tenor de las más recientes resoluciones, en particular la R/00109/2016, la propia Agencia cambia de criterio con respecto a las resoluciones anteriores e incluso lo admite en las conclusiones de la propia resolución, “esta Agencia considera necesario revisar el mencionado criterio, en los términos que se plasman en la presente resolución. De este modo la inexistencia de prueba alguna, acerca de un posible tratamiento de datos de carácter personal, implica que la presente resolución de archivo no incorpore ningún tipo de requerimiento, al prevalecer el principio de presunción de inocencia.”

Del mismo modo, la Agencia Catalana de Protección de Datos emitió un Dictamen (1/2009, de 10 de febrero) avalando el criterio más reciente de la AEPD, en el que esclarecía que “La instalación de cámaras de video vigilancia falsas con fines disuasorios en un espacio, no supone un tratamiento de datos personales, si no son aptos para captar ni imágenes ni voces. Por tanto, la normativa reguladora del derecho fundamental a la protección de datos de carácter personal no sería de aplicación a estas cámaras simuladas.”

Por tanto, y a tenor de este cambio de criterio, la instalación de cámaras de vídeo vigilancia falsas, debería encontrarse fuera de los ámbitos de aplicación de la LOPD al no existir tratamiento de datos y operar el principio de presunción de inocencia. No obstante, resultaría recomendable actuar con cierta diligencia y, cumplir con obligaciones tales como la inclusión de los carteles informativos de vídeo vigilancia en aquellos espacios en los que se hallen las cámaras simuladas. De todas formas, estaremos atentos al rumbo que sigue la AEPD en resoluciones futuras.

Decálogo con consejos prácticos de privacidad y seguridad en dispositivos conectados, elaborado por la Agencia Española de Protección de datos

La Agencia Española de Protección de Datos (AEPD) apuesta de forma decidida por la prevención para que los ciudadanos sean más conscientes de los derechos que les asisten y cómo ejercerlos. Con motivo de las fiestas navideñas que se avecinaban, la AEPD elaboró un listado de 10 claves imprescindibles en materia de privacidad y seguridad a tener en cuenta si te regalaban o ibas a regalar un dispositivo conectado.

  1. Tu cuerpo dice más de lo que crees.
  2. Una ventana indiscreta.
  3. Dispositivos vulnerables.
  4. Protege tus datos ante pérdidas o robos.
  5. Apps: no aceptes sin leer.
  6. La ubicación no siempre es necesaria.
  7. Juguetes conectados.
  8. Demasiadas contraseñas.
  9. Menores: edúcales.
  10. ¿Sabes dónde compras?

En este link se puede ver el desarrollo de cada uno de estas 10 claves… que no tienen caducidad pasadas estas fiestas; mantienen toda su vigencia.

¿PARA QUÉ HAS RECABADO DATOS DE CARÁCTER PERSONAL?

Hace un año, el Ayuntamiento de Madrid envió e-mails a la ciudadanía para presentar la nueva página web de participación “Decide Madrid”.

Este envío podría no haber respondido al objeto por el cual, previamente, el Ayuntamiento habría recabado las direcciones de correo electrónico, los datos personales, de los destinatarios; y este objeto no era otro que el de la gestión de los servicios de atención a la ciudadanía.

A primeros de este mes de noviembre, el Ayuntamiento recibió una notificación en este sentido de la Agencia Española de Protección de Datos (AEPD) ya que ésta interpreta que el fin de dicho envío (dar a conocer el nuevo servicio de participación ciudadana) podría no haber respondido al objeto por el cual previamente el Ayuntamiento había recabado los datos de correo electrónico de los destinatarios; y se abrió el plazo de 10 días para que el Consistorio presentara sus alegaciones o pruebas que demuestren lo contrario.

El Grupo Municipal Popular había denunciado al Ayuntamiento de Madrid ante la AEPD al estimar que se utilizó información de los ciudadanos para el envío de correos electrónicos “de propaganda”. Y desde el Ayuntamiento se sostiene que siempre se respetó la Ley de Protección de Datos (LOPD)

Objeto y finalidad, términos en protección de datos que no debemos olvidar. Puedes tener datos de carácter personal (nombre, dirección, teléfono, e-mail, número de cuenta corriente…) que has recabado con un objeto y para una finalidad concreta, comunicados al interesado en el momento de la recogida de los mismos.

Una asesoría laboral, por ejemplo, tiene datos personales de los empleados de sus clientes (para la confección de las nóminas). Pero no puede aprovechar estos datos personales de los empleados de sus clientes para enviarles a sus domicilios, y/o cuentas de correo personal, información suya u otras ofertas comerciales, ya que éste no es el objeto ni la finalidad para la que tienen sus datos personales.

Guía “Cómo gestionar una fuga de información en un despacho de abogados”

Esta Guía TIC, publicada por el Consejo General de la Abogacía Española en colaboración con el Instituto Nacional de Ciberseguridad y la Agencia Española de Protección de Datos, analiza de forma práctica cómo prevenir una fuga de información en un despacho de abogados y cómo gestionarla en caso de producirse.

Lo que es aplicable de esta guía a un despacho de abogados, es aplicable a la mayoría de empresas y profesionales.

La información se ha convertido en uno de los activos más importantes que posee un despacho de abogados. Tal información, en caso de pérdida, sustracción o acceso no consentido por parte de terceros, puede ser empleada con fines indeseados o utilizada con fines comerciales. Es por ello que las fugas de información se están convirtiendo en una de las amenazas a la que se enfrenta en el nuevo mundo conectado una profesión como la abogacía, la cual se basa en gran medida en la confianza que los clientes depositan en estos profesionales.

La guía expone el origen, tanto externo como interno, de las amenazas que pueden provocar las fugas de información, para analizar a continuación cómo prevenirlas o mitigarlas. En el amplio apartado dedicado a cómo gestionar la fuga de información se expone un plan para la gestión de los incidentes que recoge los principales puntos y aspectos a tener en cuenta por parte de un despacho de abogados que quiera reforzar su capacidad de prevención y reacción.

En este link se puede descargar la guía:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/INCIBE_AEPD_Gestionar_fuga_de_informacion.pdf

Por lo que se refiere a protección de datos personales, la Guía indica que:

“La Agencia Española de Protección de Datos (AEPD) es la autoridad estatal encargada de velar por el cumplimiento de la normativa sobre protección de datos. Sus funciones son garantizar y tutelar el derecho fundamental a la protección de datos de carácter personal de los ciudadanos.

En este sentido, y para aquellos supuestos en los que una fuga de información conlleve una fuga de datos personales, el Reglamento Europeo de Protección de Datos contiene una serie de previsiones y obligaciones para el responsable del tratamiento. En efecto, los Considerandos 85 a 87 y los artículos 33 y 34, recogen la obligación para el responsable del tratamiento de que, tan pronto como éste tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, deberá, sin dilación indebida, y a más tardar 72 horas después de que haya tenido constancia de ella, notificar tal violación de seguridad a la autoridad de control competente, a menos que el responsable pueda demostrar la improbabilidad de que la citada violación entrañe un riesgo para los derechos y libertades de las personas físicas afectadas (pe.,porque tales datos iban cifrados o porque se han adoptado medidas ulteriores eficaces que garanticen que ya no existe tal riesgo). Es lo que se conoce como Data Breach Notification.

Además de tal notificación, el responsable del tratamiento de los datos objeto de la fuga (en este caso, el despacho) deberá comunicar al interesado, sin dilación indebida, la violación de la seguridad de sus datos personales en caso de que ésta pueda entrañar un alto riesgo para sus derechos y libertades. Tal notificación deberá realizarse respetando el contenido mínimo establecido en el artículo 34 del citado Reglamento europeo.

Esta comunicación es importante al objeto de que las personas afectadas por la fuga de sus datos estén informados del incidente y de los datos que han sido sustraídos, a fin de que puedan tomar las acciones oportunas para su seguridad, tales como el cambio de contraseñas, la revocación de números de tarjetas, ser especialmente cautelosos con eventuales accesos a sus cuentas de correo, etc. Además, se debe proporcionar algún canal para que los afectados puedan mantenerse informados sobre la evolución del incidente y las distintas recomendaciones que pueda realizar la organización a los afectados, con el objetivo de minimizar las consecuencias”

(Fuente: Agencia Española de Protección de Datos y Guía “Cómo gestionar una fuga de información en un despacho de abogado”).

GUÍA SOBRE PRIVACIDAD Y SEGURIDAD EN INTERNET

La Agencia Española de Protección de Datos (AEPD) y el Instituto Nacional de Ciberseguridad (INCIBE) han presentado la

“Guía sobre Privacidad y seguridad en internet”

que tiene por objetivo concienciar a los usuarios de la importancia de proteger su información personal, ofreciendo consejos y recomendaciones prácticas para fomentar e impulsar la cultura de protección de datos entre los ciudadanos, e insistir en la necesidad de que éstos adopten una actitud proactiva en cuanto al hábito de actualizar y ampliar sus conocimientos sobre seguridad, como medida preventiva para usar las nuevas tecnologías con confianza. Y es que son los propios usuarios quienes aportan gran cantidad de información y datos personales al usar la mayoría de los servicios más populares en la Red. Tanto la AEPD como INCIBE consideran que la privacidad y la seguridad son aspectos fundamentales que deben tenerse en cuenta para minimizar los riesgos que pueden llegar a producirse en un mundo hiperconectado.

La guía (que consta de 18 fichas) viene acompañada de seis vídeos tutoriales explicativos en los que se muestra cómo acceder a las configuraciones de privacidad y seguridad de algunos de los servicios más populares de internet.

Éste es el link de acceso a la guía:

https://www.osi.es/sites/default/files/docs/guiaprivacidadseguridadinternet.pdf

Fichas:

  1. Tus dispositivos almacenan mucha información privada ¿Te habías parado a pensarlo?
  2. ¿Por qué son tan importantes las contraseñas?
  3. ¿Son suficientes las contraseñas?
  4. No esperes a tener un problema para realizar copias de seguridad
  5. ¿Será fiable esta página?
  6. ¿Tengo obligación de dar mis datos cuándo me los piden?
  7. ¿Cómo puedo eliminar datos personales que aparecen en los resultados de un buscador?
  8. ¿Cómo puedo usar el navegador para que no almacene todos los pasos que doy por Internet?
  9. ¿Quién puede ver lo que publico en una red social?
  10. Identificando timos y otros riesgos en servicios de mensajería instantánea
  11. Toda la información que se publica en Internet ¿es cierta?
  12. Phishing: el fraude que intenta robar nuestros datos personales y bancarios
  13. ¡Qué le pasa a mi conexión de Internet!
  14. Quiero proteger mi correo electrónico
  15. ¿Qué tengo que tener en cuenta si guardo mi información personal en la nube?
  16. ¿Puedo compartir ficheros por Internet de forma segura?
  17. No tengo claro para qué está utilizando mi hijo Internet, ¿qué puedo hacer?
  18. ¿Las pulseras y relojes que miden la actividad física son seguros?

Vídeos “configuración de privacidad”:

FACEBOOK: https://www.youtube.com/watch?v=xItJJCR7DBw&feature=youtu.be

TWITTERhttps://www.youtube.com/watch?v=NKHGRIfgamU&feature=youtu.be

INSTAGRAM: https://www.youtube.com/watch?v=cIAD2vv72TM&feature=youtu.be

YOU TUBE: https://www.youtube.com/watch?v=cIAD2vv72TM&feature=youtu.be

WHATS APP: https://www.youtube.com/watch?v=RpwRtQN9iv0&feature=youtu.be

SNAPCHAT: https://www.youtube.com/watch?v=H8D7BDnDL9E&feature=youtu.be

ME RALLAN EL COCHE EN EL GARAJE. ¡ VOY A GRABARLO !

Hay que tener en cuenta que se aplicará la legislación de protección de datos siempre que el garaje forme parte de un espacio compartido por el que puedan transitar el resto de los propietarios o terceros que acceden al mismo.

Si van a grabarse las imágenes, y previamente a su captura, se procederá a la inscripción del fichero en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos (AEPD).

Además se colocará en lugar visible al menos un cartel que informe de que se está en una zona videovigilada (con la indicación clara de la identidad del responsable de la instalación y ante quién y dónde dirigirse para ejercer los derechos que prevé la normativa de protección de datos). De igual modo, se pondrá a disposición de los afectados la restante información que exige la legislación de protección de datos.

Las imágenes captadas por las cámaras se limitarán exclusivamente a la plaza de aparcamiento de la que sea titular el responsable del sistema y a una franja mínima de las zonas comunes que no sea posible evitar captar para la vigilancia de la plaza de garaje, previa autorización de la Junta de Propietarios que deberá constar en las actas correspondientes. Así, no se captarán imágenes de plazas de aparcamiento ajenas, ni imágenes de la vía pública, terrenos y viviendas colindantes o de cualquier otro espacio ajeno. Y si van a utilizarse cámaras orientables y/o con zoom, será necesaria la instalación de máscaras de privacidad para evitar captar imágenes de la vía pública, terrenos y viviendas de terceros.

La contratación de un servicio de videovigilancia externo, o la instalación de las cámaras por un tercero, no exime a su titular del cumplimiento de la legislación de protección de datos.

El acceso a las imágenes será exclusivamente del responsable del sistema sin que puedan ser accesibles por personas distintas; y si el acceso se realiza con conexión a internet, se restringirá con un código de usuario y una contraseña (o cualquier otro medio que garantice la identificación y autenticación unívoca), que sólo serán conocidos por la persona que pueda acceder a dichas imágenes. A las imágenes grabadas accederá sólo la persona autorizada que deberá introducir un código de usuario y una contraseña.

Las imágenes serán conservadas durante un plazo máximo de un mes desde su captación. Las imágenes que se utilicen para denunciar delitos o infracciones -como puede ser el caso- se acompañarán a la denuncia y será posible su conservación para ser entregadas a las Fuerzas y Cuerpos de Seguridad o a los Juzgados y Tribunales que lo requieran. No podrán utilizarse para otro fin. La petición de imágenes por las Fuerzas y Cuerpos de Seguridad se realizará en el marco de actuaciones judiciales o policiales. El requerimiento al titular del fichero será el documento que ampare a este para ceder datos a las mismas o a los Juzgados y Tribunales que lo requieran.

(Fuente: AEPD)

IMPLICACIONES PRÁCTICAS DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS PARA LAS EMPRESAS EN EL PERIODO DE TRANSICIÓN

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD). Aunque no comenzará a aplicarse hasta dos años después, es importante que las organizaciones vayan adaptando sus procesos, ya que la nueva normativa supone una gestión distinta de la que se viene empleando.

1. Consentimiento

El RGPD requiere que las personas cuyos datos se tratan presten su consentimiento mediante una manifestación inequívoca o una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que actualmente permite la normativa española. Los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD sólo seguirán siendo válidos como base de tratamiento si se obtuvieron respetando los criterios fijados por el propio Reglamento.

2. Información

En materia de información, el RGPD incluye cuestiones adicionales que actualmente no son requeridas por la normativa española. Cabe plantearse, por tanto, qué va a suceder con todas las cláusulas informativas utilizadas con anterioridad a mayo de 2018 una vez que el Reglamento sea de aplicación.

3. Evaluaciones de impacto sobre la protección de datos

La realización de Evaluaciones de Impacto sobre la protección de datos -aplicables de forma obligatoria en ciertos tratamientos- tiene carácter previo a la puesta en marcha de los mismos y tiene como objetivo minimizar los riesgos que un tratamiento de datos plantea para los ciudadanos. No debería esperarse a la fecha en que la realización de las evaluaciones resulte obligatoria para comenzar a utilizar esta herramienta, ya que requiere de preparación, elección de la metodología adecuada, identificación de los equipos de trabajo y otra serie de condiciones que no pueden improvisarse.

4. Certificación

El Reglamento concede una especial atención a la implantación de esquemas de certificación y abre diversas posibilidades para su gestión. Las certificaciones pueden ser otorgadas por las Autoridades de protección de datos, tanto individual como colectivamente desde el Comité Europeo, o por entidades debidamente acreditadas. La AEPD entiende que, entre todas las posibilidades, lo mejor es encomendar la certificación a entidades especializadas debidamente acreditadas y dejar que se ocupe de la acreditación de éstas la Entidad Nacional de Acreditación (ENAC), contando para ello con la participación de la Agencia.

5. Delegados de protección de datos. Certificación

El Reglamento requiere que los Delegados de Protección de Datos (DPD, o DPO, Data Protection Officer) sean nombrados en función de sus cualificaciones profesionales, en especial su conocimiento en materia de protección de datos, y su capacidad para el desempeño de sus funciones. La AEPD considera que no es oportuno establecer un sistema de certificación de Delegados de Protección de Datos que opere como requisito para el acceso a la profesión, pero sí está valorando la posibilidad de promover la aplicación de la acreditación de entidades de certificación de profesionales con arreglo a estándares ya establecidos.

6. Relación entre responsables y encargados

El Reglamento describe un contenido mínimo de los contratos de encargo de tratamiento que excede las previsiones contempladas en la Directiva. En el caso español, la LOPD ya contempla la inclusión de algunos de esos contenidos en los contratos, aunque hay diferencias entre ésta y el RGPD en relación a los requisitos fijados.

El contrato es el documento que determina las obligaciones de las partes ante la prestación del servicio de encargo que se acuerda. Por ello, debe respetar en todo caso el contenido fijado por el Reglamento ya que, en caso contrario, no se estarían trasladando a los encargados las obligaciones que el Reglamento específicamente prevé.

Este momento de transición entre la entrada en vigor y la aplicación del RGPD debería aprovecharse para llevar a cabo dos acciones paralelas:

-Abordar la revisión de los contratos ya existentes y que se refieran a encargos con vocación de prolongarse en el tiempo, de forma que en mayo de 2018 sean compatibles con las disposiciones.

-Empezar a incluir, en las nuevas cláusulas contractuales, todos los elementos que el Reglamento considera necesarios.

7. Herramientas para pymes y herramientas sectoriales

La AEPD está trabajando en la preparación de herramientas que ayuden, a responsables y encargados, a entender y cumplir el Reglamento. Está previsto que este recurso se complemente con otros más avanzados, orientados a las pymes que desarrollan tratamientos que conllevan un nivel de riesgo algo mayor como consecuencia de alguna circunstancia concreta -como puede ser el manejo de datos sensibles- y que incluirá un apartado dedicado a las medidas de seguridad que deben implantarse.

(Fuente: Agencia Española de Protección de Datos)

INSTALACIÓN DE CÁMARAS DE VIDEOVIGILANCIA EN COMUNIDADES DE PROPIETARIOS

En una de sus “fichas prácticas”, la Agencia Española de Protección de Datos (AEPD) indica que para la instalación de cámaras en zonas comunes será necesario el acuerdo de la Junta de Propietarios, que quedará reflejado en las actas de dicha Junta y que se recomienda que en el acuerdo se reflejen algunas de las características del sistema de videovigilancia, como el número de cámaras o el espacio captado por éstas.

Siempre que vayan a grabarse imágenes de personas, y previamente a su captura, se procederá a la inscripción del fichero en el Registro General de la AEPD.

Deberán colocarse (en los distintos accesos a la zona video vigilada y, en lugar visible) uno o varios carteles en los que se informe que se accede a una zona videovigilada indicando en ellos de forma clara la identidad del responsable de la instalación y ante quién y dónde dirigirse para ejercer los derechos que prevé la normativa de protección de datos. También se pondrá a disposición de los afectados la restante información que exige la legislación de protección de datos. Esta información puede estar disponible en conserjería, recepción, oficinas, tablones de anuncios o ser accesible a través de internet.

Si se pretende que las imágenes puedan ser utilizadas para el control de los trabajadores, existenrequisitos adicionales que hay que cumplir.

No podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble. Las cámaras sólo podrán captar imágenes de las zonas comunes de la comunidad. Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno. Y si se utilizan cámaras orientables y/o con zoom, será necesaria la instalación de máscaras de privacidad para evitar captar imágenes de la vía pública, terrenos y viviendas de terceros.

La contratación de un servicio de videovigilancia externo o la instalación de las cámaras por un tercero no exime a la comunidad del cumplimiento de la legislación de protección de datos.

El acceso a las imágenes estará restringido a las personas designadas por la comunidad de propietariosy en ningún caso estarán accesibles a los vecinos mediante canal de televisión comunitaria. Si el acceso se realiza con conexión a internet, se restringirá con un código de usuario y una contraseña (o cualquier otro medio que garantice la identificación y autenticación unívoca) que solo serán conocidos por las personas autorizadas a acceder a dichas imágenes. Una vez instalado el sistema, se recomienda el cambio de la contraseña, evitando las fácilmente deducibles.

El sistema de grabación se ubicará en un lugar vigilado o de acceso restringido y las imágenes serán conservadas durante un plazo máximo de un mes desde su captación.

Las imágenes que se utilicen para denunciar delitos o infracciones se acompañarán a la denuncia y será posible su conservación para ser entregadas a las Fuerzas y Cuerpos de Seguridad o a los Juzgados y Tribunales que las requieran. No podrán utilizarse para otro fin.

La petición de imágenes por las Fuerzas y Cuerpos de Seguridad se realizará en el marco de actuaciones judiciales o policiales. El requerimiento al titular del fichero será el documento que ampare a éste para ceder datos a las mismas o a los Juzgados y Tribunales que los requieran.

EL CONSENTIMIENTO EXPRESO E INEQUÍVOCO

Ésta va a ser una de las diferencias sustanciales del nuevo Reglamento Europeo de Protección de Datos.

El nuevo Reglamento exige una manifestación de consentimiento expresa e inequívoca, lo que supone que se prohíbe el consentimiento tácito (“Que no se expresa o no se dice pero se supone o se sobreentiende”) que era una de las fórmulas más utilizadas por las empresas.

Es por ello, entre otros aspectos, por lo que Mar España (Directora de la Agencia Española de Protección de Datos, y en el marco de la 8ª Sesión Anual de la Agencia Española de Protección de Datos) recomendó a las empresas y entidades que la adaptación de los procesos en materia de protección de datos se lleve a cabo de manera progresiva, para así detectar las posibles dificultades en su aplicación y tomar medidas que permitan solucionarlas.

Cuando el nuevo Reglamento sea de aplicación (mayo 2018) se regula el que los consentimientos obtenidos con anterioridad solo seguirán siendo válidos si se obtuvieron respetando los criterios establecidos por esta normativa comunitaria (consentimiento expreso e inequívoco). Así pues, será bueno que las organizaciones que en la actualidad fundamentan sus consentimientos en un consentimiento tácito, empiecen ya a adaptarse a las exigencias del Reglamento.

A nivel de sitios web otro aspecto a tener en cuenta en el nuevo Reglamento es que la información que debe darse a los interesados con anterioridad al inicio de los tratamientos incluye cuestiones que aún no han sido requeridas por la normativa española. La AEPD estima que en estos casos no será necesario comunicar la cláusula informativa a todas aquellas personas sobre las que ya se está realizando el tratamiento, sino que bastará con publicarlas en la página web de la empresa o institución, o a través de los canales de comunicación habituales que puedan mantener con sus clientes. Recomienda, en este respecto, que se vayan adaptando las cláusulas informativas con tiempo las exigencias del Reglamento.