El responsable y encargado del tratamiento deben ser proactivos y cumplir con la normativa de protección de datos, en este sentido una de las obligaciones que nos exige el reglamento es garantizar la seguridad de los datos personales.
En el art.32 del RGPD se identifican algunas de las medidas técnicas y organizativas que el responsable y encargado del tratamiento deben aplicar para conseguir un nivel adecuado de seguridad, entre ellas:
32.1.d Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas.
En este sentido, el Reglamento se está refiriendo a las auditorías como una de las medidas técnicas que se deben aplicar para salvaguardar la información.
A lo largo del articulado del RGPD, también se pueden encontrar otras referencias a las auditorías, cuando nos indica, en el art. 28 del RGPD, que una de las cláusulas del contrato de acceso a datos por cuenta del responsable, el encargado del tratamiento permitirá y contribuirá a la realización de auditorías, incluidas las inspecciones por parte del responsable o incluso de otro auditor autorizado por dicho responsable.
Así mismo en el art.24 del RGPD, se recoge que el responsable aplicará las medidas adecuadas, con el fin de garantizar y demostrar que el tratamiento es conforme con el RGPD, dichas medidas se revisarán y actualizarán cuando sea necesario.
IMPORTANTE
“La falta de adopción de medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado, según el artículo 32.1 del Reglamento, es una falta grave.
Con fecha 17/07/2017 tuvo entrada una denuncia contra el GRUPO KONECTA CENTROS ESPECIALES DE EMPLEO, la cual se resolvió en el procedimiento sancionador PS/00509/2017.
La denunciante presentó escrito de denuncia dirigido a la Inspección de Trabajo, contra este grupo, manifestando que sus datos personales junto con los datos de los demás trabajadores de la empresa habían sido de conocimiento público, ya que cualquier trabajador que accediera a un equipo informático podía ver y tener acceso a todos y cada uno de los datos personales, incluidos entre otros, los justificantes médicos y notificaciones sobre grados de minusvalías. En la demanda se presentó, como prueba, la ruta de acceso a las carpetas que contenían los datos de carácter personal.
La entidad presentó un escrito ante la Inspección de Trabajo informando que ya se habían tomado las medidas adecuadas para que casos como ése no vuelvan a ocurrir, limitándose el acceso a los datos sólo a personal autorizado, incluso si fuera necesario se habilitaría una autorización expresa en cada caso.
La directora de la AGPD, ante los hechos probados, resolvió sancionar al Grupo Konecta, con la cantidad de 15.000 euros por infracción grave, del art.9.1 de la LOPD, ya que no mantuvo los ficheros y programas con las debidas condiciones de seguridad para evitar el tratamiento o acceso no autorizado a la información.
IMPORTANTE:
El Responsable del tratamiento y Encargado deben adoptar las medidas de tipo técnico y organizativo necesarias para garantizar la Confidencialidad , Seguridad e Integridad de los datos personales.
Las nuevas tecnologías cada vez se van introduciendo más en nuestra actividad diaria, es el caso del uso de las aeronaves pilotadas de forma remota, popularmente conocidas como drones.
El dron como equipo aéreo puede pertenecer a distintas categorías con capacidades diferentes. Entre otros puede llevar sistemas que permitan la grabación de imágenes, sistemas de detección o equipos de radiofrecuencia. El que nos ocupa en relación con la protección de datos es el primer supuesto.
A este respecto y siempre que no estemos ante el uso del dron como videovigilancia de espacios públicos, el cual estará regulado por la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos, tendremos que cumplir con la normativa del RGPD para el tratamiento de las imágenes.
Serán a tener en cuenta los siguientes puntos:
- Al tratarse de la aplicación de una nueva tecnología se valorará la realización de una Evaluación de impacto.
- Se aplicará el principio de minimización de datos, borrando o anonimizando siempre que fuera posible.
- Se informará a los afectados, para ello, el grupo de trabajo del 29 recomienda que sea multicanal, a través de la web de los operadores de los drones o incluyendo, por ejemplo, la información en periódicos.
IMPORTANTE:
El operador de los drones como encargado de tratamiento, deberá cumplir además también con las responsabilidades de la Ley 18/2014 de navegación aérea española.
El informe Jurídico 0437/2012 resuelve sobre el establecimiento de una contraprestación como tasa o precio público, por la emisión de copias de la historia clínica.
Tal y como establece la ley 41/2002 de 14 de noviembre reguladora de la Autonomía del Paciente y Derechos y Obligaciones en materia de información y documentación clínica, en el art.48, regula el derecho de acceso del paciente a la historia clínica y a obtener copia de los datos que figuran en ella.
Serán los centros los que regulen ese procedimiento teniendo en cuenta, que el derecho de acceso a datos de carácter personal, es uno de los derechos de las personas consagradas en el Título III de la LOPD 15/1999
Así en el art. 15 de la LOPD 15/1999 se señala que el interesado tendrá derecho a:
“Solicitar y obtener gratuitamenteinformación de sus datos de carácter personal sometidos a tratamiento “(mediante visualización, copia….) y lo que ocupa en esta consulta, es que en virtud del art.17no se exigirá contraprestación alguna por el ejercicio de los derechos contemplados en la ley.
El reglamento de desarrollo 1720/ 2007 en el art.24, establece además que deberá concederse un medio sencillo y gratuito para el ejercicio de los derechos, no pudiendo establecer como tales medios el envío de cartas certificadas o servicios de telecomunicaciones que impliquen tarificación adicional o suponga un coste excesivo.
IMPORTANTE:
No obstante este derecho solo podrá ser ejercido por el interesado a intervalos no inferiores a 12 meses, salvo que el interesado acredite un interés legítimo, en ese caso podrá ejercitarlo antes.
El PS/00560/2017 instruido por la AGPD, sanciona a la Empresa BILUA E-COMMERCE S.L , por no hacer efectiva la baja en la suscripción de una interesada y continuar enviando correos comerciales.
El día 7/06/2017 tuvo entrada en la Agencia el escrito de doña AAA, contra la entidad anteriormente citada, alegando que sigue recibiendo correos comerciales a pesar de que solicitó la bajay recibir confirmación de la misma.
La denunciante presenta la prueba de los correos confirmatorios de que la empresa procede a darle de baja de la suscripción.
A la vista de los hechos y en fase de actuaciones previas, los servicios de inspección de la Agencia, realizan dos solicitudes de información ala Empresa a través de sus sistemas, de las cuales no obtiene respuesta.
Los hechos expuestos suponen la comisión por parte del denunciado de una infracción del art. 21.1 de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, según el cual está prohibida toda comunicación publicitaria o promocional por correo electrónico cuando no haya sido expresamente autorizada por los destinatarios o solicitada.
A los efectos previstos según el art.127.b del RGLOPD le correspondería pagar 7.000 euros de multa, aunque al hacer el pago voluntario la cantidad se redujo.
IMPORTANTE:
El RGPD (UE)2016/679 prevé sanciones millonarias por las infracciones cometidas respecto al tratamiento de datos personales.
Para cumplir con el principio de transparencia facilitaremos facilitaremos esa información en el momento en que recojamos esos datos en dos capas.
- Capa de información I:
- Identidad y datos de contacto del Responsable y en su caso representante.
- Datos de contacto del DPD , en su caso.
- Los fines de tratamiento y la base jurídica.
- Si el tratamiento se basa en el Interés legítimo del Responsable indicar claramente cuál es.
- Donde ejercer sus derechos.
- Los destinatarios o las categorías de destinatarios en su caso.
- En su caso la intención responsable de transferir datos a un tercer país.
- Capa de información adicional II:
- Plazo o criterios de conservación de plazos.
- El derecho a retirar el consentimiento.
- Derecho a presentar una reclamación ante la autoridad de control.
- Existencia o no de decisiones automatizadas y sus consecuencias.
IMPORTANTE:
En el caso de que el interesado ya disponga de esta información, no sería necesario que el Responsable tuviera que entregársela de nuevo.
Estamos a unos meses de la aplicación del Reglamento General de Protección de Datos. La reforma legal supondrá un cambio radical en la gestión de la protección de datos, y empresas y organizaciones deben comenzar cuanto antes la adaptación a la nueva normativa.
Estos son los primeros pasos que se deberían tener en cuenta para iniciar la adaptación:
Cada vez es más habitual la captación y el tratamiento de imágenes con la finalidad de garantizar la seguridad de bienes o personas, o en un entorno empresarial para vigilar el cumplimiento de las obligaciones laborales de los trabajadores.
La utilización de medios de vigilancia repercute sobre la intimidad de las personas, ya que la imagen de una persona identificada o identificable constituye un dato personal. Es por esto por lo que se deben cumplir una serie de requisitos para que dicha instalación se encuentre debidamente legalizada.
Para esto, debemos que realizar las siguientes acciones:
Existen algunas empresas que contratan seguros de vida y planes de pensiones en beneficio de sus empleados, ya sea porque así lo exige su Convenio Colectivo, o como agradecimiento a sus trabajadores por los servicios prestados.
Para poder formalizar estos seguros y/o planes de pensiones, la empresa debe facilitar a la aseguradora y a los bancos ciertos datos de sus empleados y en algunos casos, hasta los datos de sus beneficiarios. Pero, ¿puede el empleador contratarlo sin más, o es necesario que cada trabajador preste su consentimiento?
Siguiendo la regla general establecida en la LOPD, en principio, no podrían comunicarse los datos de los trabajadores y/o sus familiares a la aseguradora y a los bancos sin su consentimiento, pues se estaría vulnerando el artículo 11 de la LOPD. Sin embargo, esta regla general se encuentra exceptuada en una serie de supuestos, uno de los cuales es, cuando la contratación de este tipo de productos y servicios sea realizada por la empresa en beneficio del trabajador y se base en la existencia de la propia relación laboral.
En este supuesto concreto, no sería necesario pedir consentimiento a los trabajadores para contratar. No obstante, es imprescindible que éstos hayan sido informados previamente en los términos establecidos por el artículo 5 de la LOPD (a quién se ceden los datos y para qué), lo cual puede hacerse bien en el mismo momento de celebración del contrato, o bien mediante una circular informativa posterior.
IMPORTANTE:
En la gestión de personal, las empresas deben ser particularmente cautelosas con la recogida de los datos, así como con el deber de informar a sus trabajadores
Son ficheros públicos aquellos cuyos responsables de recoger y tratar datos personales sean las Administraciones Públicas (Estado, Comunidades Autónomas, Entes Locales y organismos vinculados o dependientes de ellos).
El art. 55 del RDPD dispone al respecto que todo fichero de datos personales deberá ser notificado para su creación, modificación o supresión a la AEPD por el órgano competente. Estas notificaciones deberán realizarse por medio de una Disposición General (acta o acuerdo de sus miembros de gobierno) que deberá ser publicada en el "Boletín Oficial del Estado" o Diario oficial correspondiente, y la cual deberá indicar:
a)La finalidad y usos previstos del fichero
b)Las personas o colectivos interesados
c)El procedimiento de recogida de los datos
d)La estructura básica del fichero y la descripción de los tipos de datos a tratar
e)Las cesiones de datos y las posibles transferencias a terceros países
f)Los órganos de las Administraciones que son responsables del fichero.
g)Los servicios o unidades ante los que pueden ejercitarse los derechos ARCO
h)Las medidas de seguridad a aplicar, con indicación del nivel de seguridad exigible.
IMPORTANTE:
En el plazo de 30 días desde la publicación del acuerdo de creación, Acta o Disposición General, el fichero deberá ser notificado para su registro en la AEPD