Son ficheros públicos aquellos cuyos responsables de recoger y tratar datos personales sean las Administraciones Públicas (Estado, Comunidades Autónomas, Entes Locales y organismos vinculados o dependientes de ellos).

El art. 55 del RDPD dispone al respecto que todo fichero de datos personales deberá ser notificado para su creación, modificación o supresión a la AEPD por el órgano competente. Estas notificaciones deberán realizarse por medio de una Disposición General (acta o acuerdo de sus miembros de gobierno) que deberá ser publicada en el "Boletín Oficial del Estado" o Diario oficial correspondiente, y la cual deberá indicar:

a)La finalidad y usos previstos del fichero

b)Las personas o colectivos interesados

c)El procedimiento de recogida de los datos

d)La estructura básica del fichero y la descripción de los tipos de datos a tratar

e)Las cesiones de datos y las posibles transferencias a terceros países

f)Los órganos de las Administraciones que son responsables del fichero.

g)Los servicios o unidades ante los que pueden ejercitarse los derechos ARCO

h)Las medidas de seguridad a aplicar, con indicación del nivel de seguridad exigible.

IMPORTANTE: 

En el plazo de 30 días desde la publicación del acuerdo de creación, Acta o Disposición General, el fichero deberá ser notificado para su registro en la AEPD

Existen determinadas profesiones de atención al público (camareros, dependientes, comerciales etc.) en las que se requiere la identificación de sus trabajadores mediante el uso de placas identificativas en las que figura su nombre, apellidos, DNI, incluso su fotografía, sin el consentimiento del titular.

Algunos trabajadores no obstante, se plantean si esa práctica puede ser llevada a cabo por las empresas sin vulnerar la LOPDpues según esta Ley, los datos de carácter personal sólo podrán ser recogidos y tratados, cuando sean adecuados, pertinentes y no excesivos en relación al ámbito y a las finalidades para las que fueron obtenidos.

                                                   

La AEPD en su Informe 266/2006 responde a esta cuestión permitiendo este tratamiento de datos y se basa para ello en otro precepto de la misma Ley que establece que no será necesario el consentimiento cuando los datos se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento.

Por tanto, entiende la AEPD que dado que la finalidad de la identificación es garantizar un trato personalizado con el cliente y cumplir sus funciones laborales, es posible y adecuado a la Ley 15/1999 llevar dichas tarjetas por los trabajadores sin pedir consentimiento. No obstante, esto no exime al empleador del deber de informar conforme exige el art.5 Ley.

IMPORTANTE: En la gestión de personal, las organizaciones o empresas deben ser particularmente cautelosas con la recogida de los datos, así como con el deber de informar a sus trabajadores.

El derecho a la portabilidad de los datos es una forma avanzada del derecho de acceso por el cual la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica. 

Se trata de una herramienta importante para facilitar la libre circulación de datos personales en la UE y la posibilidad de cambiar de proveedor de servicios, reforzando la competencia entre responsables de tratamiento.

Supone además un empoderamiento de los afectados y consumidores, ya que aumenta su capacidad de trasladar, copiar o transmitir sus datos fácilmente de un entorno informático a otro.

Este derecho sólo puede ejercerse: 

  • Cuando el tratamiento se efectúe por medios automatizados 
  • Cuando el tratamiento se base en el consentimiento o en un contrato 
  • Cuando el interesado lo solicita respecto a los datos que haya proporcionado al responsable y que le conciernan, incluidos los datos derivados de la propia actividad del interesado.

No es aplicable

  • A los datos de terceras personas que un interesado haya facilitado a un responsable. 
  • En caso de que el interesado haya solicitado la portabilidad de datos que le incumban pero que hayan sido proporcionados al responsable por terceros.

IMPORTANTE

El derecho a la portabilidad implica que los datos personales del interesado se transmiten directamente de un responsable a otro, sin necesidad de que sean transmitidos previamente al propio interesado, siempre que ello sea técnicamente posible.

En el Reglamento General de Protección de Datos (RGPD) se le da una mayor importancia a la información que se debe proporcionar a los afectados cuando se van a tratar sus datos personales. Esta obligación ya estaba prevista en la LOPD, pero en el RGPD se introducen una serie de novedades, por lo que será necesario revisar y adaptar la gestión de los tratamientos actuales.

En el RGPD se recoge una lista exhaustiva de los contenidos de los que se debe informar, que amplía el contenido del deber de informar existente hasta ahora.

Además, en consonancia con el principio de transparencia, la información deberá proporcionarse con un lenguaje claro y sencillo y de forma concisa, transparente, inteligible y de fácil acceso.

Por ello, para hacer compatible la ampliación de los detalles de los que se debe informar con la obligación de presentar dicha información de una forma concisa y comprensible, en el RGPD se recomienda utilizar un modelo de información por capas o niveles:

  • una primera capa con un nivel básico de información, presentada de forma resumida y estructurada en forma de tabla
  • una segunda capa en la que se contenga esa información de manera más detallada y se añada la información adicional que no estaba presente en la primera capa.

El enlace entre las capas dependerá del medio mediante el cual se proporcione la información:

  • un link a otra dirección web (en el caso de formularios web)
  • una locución complementaria con información adicional (en el caso de una entrevista telefónica)
  • el reverso de un documento (en el caso de formularios en papel), etc.

Lo importante es que en la primera capa no puede faltar ningún detalle relevante, aunque esté expuesto de forma resumida y que les quede claro a los interesados cómo pueden acceder a la información completa.

La relevancia que el RGPD concede a la claridad y accesibilidad de la información se refleja en el hecho de que prevé que pueda proporcionarse en combinación con iconos estandarizados que ofrezcan una visión de conjunto del tratamiento previsto. El diseño de estos iconos deberá hacerlo la Comisión Europea, que ya está trabajando para presentar una propuesta.


Fuente: Agencia Española de Protección de Datos

Establece la LOPD en su articulado que aquellas personas físicas cuyos datos personales estén siendo tratados, tendrán derecho para ejercitar ante las entidades Responsables del tratamiento los derechos de ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN (ARCO) sobre dichos datos.

Estos derechos deberán ser ejercidos bien personalmente por el propio afectado (debiendo acreditar su identidad), o bien por medio de un representante legal o voluntario designado al afecto. Para cumplir con la Ley, las empresas deberán facilitar medios sencillos y gratuitos, y deberán atender a los afectados incluso si no disponen de los datos solicitados.

Los plazos para que los Responsables atiendan estos derechos son:

  • ACCESO: el responsable deberá responder en el plazo máximo de un mes desde que recibió la solicitud del interesado.
  • RECTIFICACIÓN y CANCELACIÓN: 10 días para rectificar o cancelar los datos incorrectos.
  • OPOSICIÓN: 10 días desde la solicitud.

IMPORTANTETranscurridos los plazos legales sin que el Responsable haya atendido los derechos ARCO, el titular de los datos afectado, podrá solicitar directamente la tutela de la AEPD.

Una de las novedades más importantes del Reglamento General de Protección de Datos (RGPD) es que se refuerzan los derechos de los ciudadanos considerablemente.

El RGPD contiene los ya tradicionales derechos ARCO y también algunos nuevos derechos. El nuevo Reglamento se refiere ahora a los derechos de Transparencia (art. 12), Información (arts. 13 a 14), Acceso (art. 15), Rectificación (Art. 16), Supresión o derecho al olvido (art. 17), Limitación del tratamiento (art. 18),  Portabilidad de datos (art. 20) y Oposición (art. 21).

Estos nuevos derechos proporcionan un mayor control y una mayor capacidad de decisión a los ciudadanos sobre el tratamiento de sus datos personales por parte de terceros.

Además, el RGPD establece condiciones concretas sobre el procedimiento a seguir para atender a los interesados en el ejercicio de sus derechos.

Al igual que sucede actualmente con la LOPD, es obligación de los responsables facilitar a los interesados el ejercicio de sus derechos. Los procedimientos y las formas para ello deben ser visibles, accesibles y sencillos. Se requiere que se posibilite la presentación de solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por estos medios.

El ejercicio de los derechos será gratuito para el interesado, con la excepción de que se formulen peticiones manifiestamente infundadas o excesivas, en cuyo caso se podrá cobrar un canon de compensación o negarse a actuar. La carga de la prueba de ese carácter excesivo o infundado recaerá siempre en el responsable.

El plazo establecido para responder a las solicitudes será de un mes, ampliable en caso de especial complejidad de la petición. El responsable deberá responder en todo caso, y si decide no atender la solicitud deberá informar al interesado en el plazo de un mes, motivando su negativa.

El responsable podrá contar con la colaboración de los encargados para atender al ejercicio de derechos de los interesados, pudiendo incluir esta colaboración en el contrato de encargo de tratamiento.

Todo esto supone un incremento en el esfuerzo que las empresas tienen que realizar para cumplir con la protección de datos, por lo que será necesario un mayor compromiso por su parte.

Todo tratamiento de datos necesita apoyarse en una base que lo legitime, es decir, podremos usar datos personales siempre que tengamos el derecho o el deber de hacerlo.

Según el principio de responsabilidad proactiva recogido en el art.5.2 del Reglamento General de Protección de Datos (RGPD) el responsable deberá documentar e identificar claramente la base legal que legitime el tratamiento de datos personales de terceros. Las organizaciones deben analizar qué tipos de datos tratan, con qué finalidad y qué operaciones de tratamiento realizan, para asegurarse de que son las adecuadas y que pueden demostrarlo tanto a los interesados (a los que tendrán que informar de esa base legal) y a las autoridades.

Las bases jurídicas en el RGPD son las mismas que contenía la LOPD, con matices: 

Consentimiento: según el RGPD debe ser inequívoco, afirmativo y específico, por lo que ya no se permitirá el consentimiento tácito que se venía utilizando hasta ahora y habrá que recabarlo para uno o varias finalidades determinadas. 

La ejecución de un contrato: que antes se denominaba el mantenimiento de una relación negocial, laboral o administrativa. 

Intereses vitales del interesado o de otras personas: el RGPD pone como ejemplos los necesarios para fines humanitarios (incluido el control de epidemias y su propagación) y situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.. 

Obligación legal para el responsable

Interés público o ejercicio de poderes públicos, con base en el derecho de la UE o de los Estados Miembros. 

Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos, que existirá cuando no prevalezcan los derechos y libertades del interesado. Si el responsable puede hacer un tratamiento en virtud de este interés legítimo el interesado podrá hacer prevalecer sus derechos y libertades mediante los derechos de oposición y limitación. 

La ponderación de cuál es el interés que prevalece, si el del responsable o el del interesado es la excepción a los tratamientos que se realicen sin el consentimiento que mayor indeterminación podrá producir en el día a día. El RGPD explica en sus considerandos 47-49 el interés legítimo del responsable, poniendo como ejemplo la relación que mantiene con clientes o trabajadores. En todo caso, deberá evaluarse ese interés legítimo de una forma meticulosa

 

En mayo de 2018 entrará en vigor el nuevo Reglamento General de Protección de Datos (RGPD). 

Todas las empresas y organizaciones que traten datos de terceros, empleados y clientes, deberán cumplir con la nueva normativa para evitar multas cuantiosas y mala publicidad.

La reforma legal supone una gestión de la protección de datos distinta a la que se venía realizando hasta ahora:

  • Los responsables deberán aplicar las técnicas necesarias para garantizar que sus tratamientos de datos son conformes al Reglamento y que pueden acreditarlo ante interesados y autoridades.
  • Se deberán adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de dato, como regla y desde el origen.
  • Será necesario actualizar los registros y procedimientos existentes para integrar la “privacidad en el diseño”.
  • Se anulará el consentimiento tácito que se permitía en ciertos tratamientos y será obligatorio un consentimiento explícito y expreso.
  • La figura del Delegado de Protección de Datos será obligatoria en entidades públicas y en empresas donde la gestión de datos personales se realice a gran escala o de manera habitual y sistemática.
  • Se refuerzan los derechos de los afectados, cuyo ejercicio será facilitado de manera gratuita por el responsable: derecho al olvido, derecho de portabilidad, derecho de oposición a la realización de perfiles, derecho de limitación etc.
  • Se amplía el catálogo de datos especiales: se añaden datos biométricos, genéticos, condenas e infracciones penales, vigilancia de zonas públicas, riesgo alto para derechos y libertades…
  • Se obligará a notificar las brechas de seguridad a la autoridad de control y a los afectados en menos de 72 horas.
  • Se refuerza el derecho de información, tendrá que utilizarse un lenguaje claro y sencillo y deberá ser concisa, inteligible y de fácil acceso.
  • Deberán realizarse evaluaciones de impacto en los tratamientos que conlleven un alto riesgo para derechos y libertades.
  • En resumen, el RGPD establece de forma más detallada que las normativas anteriores la forma en que se deben tratar los datos de los residentes de la UE, incluso en países fuera de ésta.

Es recomendable que las empresas tomen conciencia y empiecen a planificar los procesos adecuados, para llegar a tiempo a la entrada en vigor de la nueva normativa, reforzar así su reputación y mejorar su competitividad.

 

En el PS/00136/2017 podemos ver como la Agencia Española de Protección de Datos sanciona a una clínica por publicar un vídeo del tratamiento recibido por la denunciante en Youtube y en su web, sin que esta hubiese dado su consentimiento para ello.

Durante las actuaciones de inspección, la clínica no aportó la documentación requerida por la Agencia, ya que aunque incorporan en sus expedientes los clausulados a los que obliga la LOPD, no encontraron en el de la denunciante la firma de dichos clausulados. La clínica denunciada alegó que en cuanto tuvo conocimiento de la existencia del vídeo, procedió a retirarlo y que no tenían intención de perjudicar a la denunciante.


La AEPD consideró que lo sucedido suponía una infracción del art.6.1 de la LOPD (“el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado”) y una vulneración del deber de secreto consagrado en el art.10.

RESULTADO: multa de 9.000€ por cometer una infracción tipificada como grave en el art.44.3b de la LOPD

IMPORTANTE: para realizar cualquier tratamiento de datos personales se debe contar con el consentimiento inequívoco del afectado.

 

En el Reglamento Europeo de Protección de Datos, a diferencia de la normativa actual, se habla de consentimiento inequívoco para el tratamiento de datos.

El consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. Esto supone que no se van a admitir formas de consentimiento tácito o por omisión, ya que se basan en la inacción.

Se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito:

  • Tratamiento de datos sensibles.
  • Adopción de decisiones automatizadas.
  • Transferencias internacionales

El consentimiento puede ser inequívoco y otorgarse de forma implícita si se deduce de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación).

Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD seguirán siendo legítimos siempre que el consentimiento se hubiera prestado del modo previsto por el reglamento, mediante una manifestación o acción afirmativa.

Recomendaciones

La Agencia Española de Protección de Datos recomienda que  no se sigan obteniendo consentimientos por omisión y que se revisen esos tratamientos para que, a partir de mayo 2018, se hayan adecuado a las previsiones del RGPD.

La adaptación puede llevarse a cabo:

  • Obteniendo un consentimiento de los interesados acorde con las disposiciones del RGPD.
  • Valorando si los tratamientos afectados pueden apoyarse en otra base legal, por ejemplo, que el interés legítimo del responsable o del cesionario de los datos que prevalezca sobre los derechos del interesado (los interesados deben ser informados y podrán ejercitar los derechos que, como el de oposición, sean específicamente aplicables a la nueva base legal elegida).