Todo tratamiento de datos necesita apoyarse en una base que lo legitime, es decir, podremos usar datos personales siempre que tengamos el derecho o el deber de hacerlo.

Según el principio de responsabilidad proactiva recogido en el art.5.2 del Reglamento General de Protección de Datos (RGPD) el responsable deberá documentar e identificar claramente la base legal que legitime el tratamiento de datos personales de terceros. Las organizaciones deben analizar qué tipos de datos tratan, con qué finalidad y qué operaciones de tratamiento realizan, para asegurarse de que son las adecuadas y que pueden demostrarlo tanto a los interesados (a los que tendrán que informar de esa base legal) y a las autoridades.

Las bases jurídicas en el RGPD son las mismas que contenía la LOPD, con matices: 

Consentimiento: según el RGPD debe ser inequívoco, afirmativo y específico, por lo que ya no se permitirá el consentimiento tácito que se venía utilizando hasta ahora y habrá que recabarlo para uno o varias finalidades determinadas. 

La ejecución de un contrato: que antes se denominaba el mantenimiento de una relación negocial, laboral o administrativa. 

Intereses vitales del interesado o de otras personas: el RGPD pone como ejemplos los necesarios para fines humanitarios (incluido el control de epidemias y su propagación) y situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.. 

Obligación legal para el responsable

Interés público o ejercicio de poderes públicos, con base en el derecho de la UE o de los Estados Miembros. 

Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos, que existirá cuando no prevalezcan los derechos y libertades del interesado. Si el responsable puede hacer un tratamiento en virtud de este interés legítimo el interesado podrá hacer prevalecer sus derechos y libertades mediante los derechos de oposición y limitación. 

La ponderación de cuál es el interés que prevalece, si el del responsable o el del interesado es la excepción a los tratamientos que se realicen sin el consentimiento que mayor indeterminación podrá producir en el día a día. El RGPD explica en sus considerandos 47-49 el interés legítimo del responsable, poniendo como ejemplo la relación que mantiene con clientes o trabajadores. En todo caso, deberá evaluarse ese interés legítimo de una forma meticulosa

 

En mayo de 2018 entrará en vigor el nuevo Reglamento General de Protección de Datos (RGPD). 

Todas las empresas y organizaciones que traten datos de terceros, empleados y clientes, deberán cumplir con la nueva normativa para evitar multas cuantiosas y mala publicidad.

La reforma legal supone una gestión de la protección de datos distinta a la que se venía realizando hasta ahora:

  • Los responsables deberán aplicar las técnicas necesarias para garantizar que sus tratamientos de datos son conformes al Reglamento y que pueden acreditarlo ante interesados y autoridades.
  • Se deberán adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de dato, como regla y desde el origen.
  • Será necesario actualizar los registros y procedimientos existentes para integrar la “privacidad en el diseño”.
  • Se anulará el consentimiento tácito que se permitía en ciertos tratamientos y será obligatorio un consentimiento explícito y expreso.
  • La figura del Delegado de Protección de Datos será obligatoria en entidades públicas y en empresas donde la gestión de datos personales se realice a gran escala o de manera habitual y sistemática.
  • Se refuerzan los derechos de los afectados, cuyo ejercicio será facilitado de manera gratuita por el responsable: derecho al olvido, derecho de portabilidad, derecho de oposición a la realización de perfiles, derecho de limitación etc.
  • Se amplía el catálogo de datos especiales: se añaden datos biométricos, genéticos, condenas e infracciones penales, vigilancia de zonas públicas, riesgo alto para derechos y libertades…
  • Se obligará a notificar las brechas de seguridad a la autoridad de control y a los afectados en menos de 72 horas.
  • Se refuerza el derecho de información, tendrá que utilizarse un lenguaje claro y sencillo y deberá ser concisa, inteligible y de fácil acceso.
  • Deberán realizarse evaluaciones de impacto en los tratamientos que conlleven un alto riesgo para derechos y libertades.
  • En resumen, el RGPD establece de forma más detallada que las normativas anteriores la forma en que se deben tratar los datos de los residentes de la UE, incluso en países fuera de ésta.

Es recomendable que las empresas tomen conciencia y empiecen a planificar los procesos adecuados, para llegar a tiempo a la entrada en vigor de la nueva normativa, reforzar así su reputación y mejorar su competitividad.

 

En el PS/00136/2017 podemos ver como la Agencia Española de Protección de Datos sanciona a una clínica por publicar un vídeo del tratamiento recibido por la denunciante en Youtube y en su web, sin que esta hubiese dado su consentimiento para ello.

Durante las actuaciones de inspección, la clínica no aportó la documentación requerida por la Agencia, ya que aunque incorporan en sus expedientes los clausulados a los que obliga la LOPD, no encontraron en el de la denunciante la firma de dichos clausulados. La clínica denunciada alegó que en cuanto tuvo conocimiento de la existencia del vídeo, procedió a retirarlo y que no tenían intención de perjudicar a la denunciante.


La AEPD consideró que lo sucedido suponía una infracción del art.6.1 de la LOPD (“el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado”) y una vulneración del deber de secreto consagrado en el art.10.

RESULTADO: multa de 9.000€ por cometer una infracción tipificada como grave en el art.44.3b de la LOPD

IMPORTANTE: para realizar cualquier tratamiento de datos personales se debe contar con el consentimiento inequívoco del afectado.

 

En el Reglamento Europeo de Protección de Datos, a diferencia de la normativa actual, se habla de consentimiento inequívoco para el tratamiento de datos.

El consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. Esto supone que no se van a admitir formas de consentimiento tácito o por omisión, ya que se basan en la inacción.

Se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito:

  • Tratamiento de datos sensibles.
  • Adopción de decisiones automatizadas.
  • Transferencias internacionales

El consentimiento puede ser inequívoco y otorgarse de forma implícita si se deduce de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación).

Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD seguirán siendo legítimos siempre que el consentimiento se hubiera prestado del modo previsto por el reglamento, mediante una manifestación o acción afirmativa.

Recomendaciones

La Agencia Española de Protección de Datos recomienda que  no se sigan obteniendo consentimientos por omisión y que se revisen esos tratamientos para que, a partir de mayo 2018, se hayan adecuado a las previsiones del RGPD.

La adaptación puede llevarse a cabo:

  • Obteniendo un consentimiento de los interesados acorde con las disposiciones del RGPD.
  • Valorando si los tratamientos afectados pueden apoyarse en otra base legal, por ejemplo, que el interés legítimo del responsable o del cesionario de los datos que prevalezca sobre los derechos del interesado (los interesados deben ser informados y podrán ejercitar los derechos que, como el de oposición, sean específicamente aplicables a la nueva base legal elegida).

En el Reglamento Europeo de Protección de Datos se introducen importantes modificaciones en el deber de informar a los interesados, como resultado del principio de transparencia (art.12)

En la nueva normativa se habla de que la información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. La normativa actual sólo exige que la información se preste de modo expreso, preciso e inequívoco.

Obligaciones

LOPD                                                                         RGPD
• La existencia del fichero o tratamiento,                         Se añaden requisitos adicionales:
su finalidad y destinatarios                                             • Los datos de contacto del Delegado de Protección de Datos,
• El carácter obligatorio o no de la                                  • Las categorías de los datos
respuesta, así como de sus                                            • La base jurídica para el tratamiento,
consecuencias.                                                            • El plazo de conservación,
• La posibilidad de ejercitar los derechos                          • La existencia de decisiones
de acceso, rectificación, cancelación y                             automatizadas o elaboración de perfiles,
oposición.                                                                   • La previsión de transferencias internacionales
• La identidad y datos de contacto del                            • El origen de los datos
responsable del tratamiento.                                         • El derecho a presentar una reclamación

 

Vivimos en un mundo dominado por las nuevas tecnologías. Las empresas cada vez más optan por ofrecer sus productos y servicios a través de Internet, ya sea a través de su web, un blog, o mediante el envío de mailings comerciales.

Sin embargo, poner en marcha un negocio de venta online, no sólo consiste en crear la plataforma y exponer los productos, sino que se deben tener en cuenta también una serie de normas legales que deben cumplir:

  • Ley Orgánica de Protección de Datos 15/1999, en cuanto a la obtención y publicación de datos personales que los usuarios proporcionan a través de la web. Es la política de privacidad.
  • Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), que establece los trámites necesarios para contratar online. Es el Aviso Legal.
  • Normativa de cookies, en desarrollo del artículo 22.2 de la LSSICE que establece las obligaciones del prestador del servicio para poder realizar seguimientos de la navegación de los usuarios por la web. Es la política de cookies.
  • Ley General para la Defensa de los Consumidores y Usuarios aprobado por RD Legislativo 1/2007, establece la información para clientes y usuarios sobre condiciones de contratación a través de la web. Son las Condiciones de Contratación.

IMPORTANTE:
Antes de iniciarse el procedimiento de compra on-line, deberá ponerse a disposición del usuario una serie de información exigida por la Ley

 La imagen de una persona es un dato de carácter personal, y su difusión a través de las redes sociales cada día es mayor.

La LOPD reconoce a las personas el derecho a que sus datos personales inadecuados o excesivos se supriman si así lo solicitan. El usuario que desee que se eliminen sus fotos o vídeos de internet deberá:

1º. Dirigirse bien a quien subió la imagen y solicitarle su eliminación, o bien a la empresa o entidad que está difundiendo la imagen, acreditando su identidad e indicando los enlaces con los datos que se quieren cancelar, guardando un justificante de dicha solicitud.

2º. Si el responsable no responde en el plazo de 10 días desde que recibió la solicitud, o si la respuesta no ha sido adecuada, el afectado, o sus padres o tutores, podrán dirigirse ante la Agencia Española de Protección de Datos para interponer la correspondiente reclamación de tutela.

 Algunas redes sociales como Facebook, Twitter o Instagram, disponen ya de formularios para ejercitar la retirada de contenidos vulnerables a la privacidad o con contenidos inapropiados.

 

.IMPORTANTE La publicación de fotos o vídeos de personas físicas a través de redes sociales requiere el consentimiento previo de sus titulares

El Informe 0261/2013 de la AEPD resuelve sobre si es conforme a la LOPD, que un propietario de una vivienda en régimen de propiedad horizontal, pueda acceder y tener copia de toda la documentación de la comunidad (salarios, honorarios profesionales, facturas, contratos, etc.) con la finalidad de conocer y comprobar la correcta gestión de las cuentas de la misma.

En la documentación referida hay numerosos datos personales tanto de los propietarios (números de cuentas corrientes, coeficientes de participación, consumos, ingresos o deudas con la comunidad), como de empleados que pudiera tener contratados o de prestadores de servicios.

La comunicación de estos datos a cualquier propietario por los Órganos de Gobierno de la comunidad, implicará una cesión de datos de carácter personal, que sólo podrá realizarse con el consentimiento de sus titulares o cuando exista una norma con rango de Ley que habilite esta cesión. Si bien la Ley de Propiedad Horizontal 49/1960 habilita diversas cesiones de datos, esta queda limitada a los datos que en cada caso resulten “adecuados, pertinentes y no excesivos” para el control del buen gobierno de la comunidad de propietarios”, no pudiendo acceder a dichos documentos en otro caso. Así, el artículo 20 de la LPH, acorde con la LOPD, no permite un acceso generalizado a toda la documentación de la comunidad debiendo examinarse en cada caso concreto si el acceso a los documentos cumple o no con el principio de proporcionalidad.

IMPORTANTE Los datos personales no podrán utilizarse para finalidades diferentes de aquellas para las que los mismos hubieran sido recogidos

En la resolución R/02762/2015 de la AEPD observamos la sanción que sufren dos asociaciones políticas y sociales para la defensa de la autonomía catalana por tratar datos de ideología sin consentimiento expreso e informado de sus titulares.

En junio y septiembre de 2015 se presentan en la AEPD varios escritos, algunos de ellos anónimos, en los que se denuncia el tratamiento de datos personales por las citadas organizaciones, los cuales fueron recopilados de forma engañosa fingiendo ser una encuesta estadística sobre nuestro país.

Estas entidades deciden organizar la realización de unas encuestas puerta a puerta entre la ciudadanía cuyo fin, según los afectados, no es sino crear una “lista negra” para distinguir a los titulares de los domicilios y sus habitantes entre afectos y no afectos a un posible proceso de independencia de Cataluña y cuyas respuestas y reacciones son anotadas por los encuestadores.

Tras las investigaciones de la AEPD, se verifica la existencia de los formularios en los que se recabaron los datos de los encuestados sin su consentimiento expreso, ni mediante la firma, ni mediante el marcando de una casilla, para aceptar el tratamiento de los datos.

 

Resultado: Sanción de 200.000 € a cada entidad por infracción del Artículo 7.2 de la LOPD tipificada como muy grave en el artículo 44.4.b), más 40.000 € a la primera por una infracción del artículo 9 de la LOPD.

 

En el procedimiento sancionador de la AEPD PS/00118/2015 podemos ver la sanción que recibe una clínica de estética por enviar un mensaje electrónico dirigido a cerca de 1.400 destinatarios sin ocultar su dirección electrónica personal.

Según los hechos, la denunciante que se encontraba en la lista de destinatarios, puso el hecho en conocimiento de la AEPD aportando copia impresa del mensaje electrónico enviado desde la clínica en el que se les informaba de la creación de un nuevo canal de comunicación en YouTube.

Se acuerda por el Director de la Agencia Española de Protección iniciar procedimiento sancionador a la denunciada por la posible vulneración del deber de secreto respecto de los datos objeto de tratamiento. 

 

A falta de alegaciones remitidas por la denunciada, y establecido que "...De no efectuar alegaciones sobre el contenido de la iniciación del procedimiento, la iniciación podría ser considerada propuesta de resolución, de acuerdo con el artículo 13.2 del Real Decreto 1398/1993, de 4 de agosto.", la AEPD procedió a resolver.

 

Resultado: sanción a la entidad con una multa de 1.000 € por una infracción del artículo 10 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, de conformidad con lo establecido en el artículo 45 apartados 2 y 5 de la citada Ley Orgánica