aralegis

Aragón en el Día Europeo de la Protección de Datos

LA CIUDADANÍA CADA VEZ CONFÍA MÁS EN QUE LAS CIENCIAS SOCIALES FAVOREZCAN UN DESARROLLO TECNOLÓGICO QUE SEA COMPATIBLE CON LA NATURALEZA HUMANA

Ser empresario en el siglo XXI es un ejercicio de adaptación continua al entorno y de superación a los desafíos que el mismo conlleva. Entre dichos desafíos sin duda destaca la utilización de la información como un elemento clave de competitividad que puede determinar no solo los resultados empresariales sino la propia subsistencia de la empresa.

En los últimos tiempos estamos constatando una convergencia entre la problemática empresarial y la que tiene que afrontar la ciudadanía en su relaciones con el Estado o con otros particulares. No hablamos únicamente de uso de la información en general, sino de forma muy específica de la información personal que aparece como un condicionante esencial en el desarrollo de cualquier actividad económica pero también en nuestra vida cotidiana.

Lejos parecen quedar ya los problemas que surgieron con la necesidad de cumplir la normativa de protección de datos, tales como qué documentación debía cumplimentarse o qué medidas de seguridad había que implementar para que por inexplorados suponen evidentes riesgos pero que, a la vez, generan enormes e interesantes posibilidades.

Pero con todo y con eso, el futuro que nos espera no puede resultar más apasionante, siempre que no menospreciemos peligros como los anteriores y pongamos remedio a cada uno de ellos.

Entre estos remedios podemos recordar que el 28 de enero de cada año, los Estados miembros del Consejo de Europa y las instituciones de la UE celebran el Día de la Protección de Datos y que marca el aniversario del Acuerdo de protección de datos del Consejo de Europa, conocido como “Convenio 108” y que fue la primera ley internacional vinculante sobre los derechos de los individuos a la protección de sus datos personales.

Por otro lado las propias instituciones como la Agencia Española de Protección de Datos actúan en defensa de los ciudadanos aportando criterios y soluciones de gestión para que el tratamiento de datos personales se realice de forma adecuada.

Esto se lleva a cabo en otras ocasiones dando cauce a nuevas iniciativas como el recienPXHERE

Continúa la lucha por la defensa de los derechos de los individuos a la protección de sus datos personales. llamada “Declaración de Zaragoza” a través del Laboratorio Europeo de Inteligencia artificial que busca establecer una deontología en el diseño y la interacción con los sistemas inteligentes y al que ya tuvimos ocasión de referirnos desde estas páginas, al igual que lo hicimos sobre la llegada de los servicios de la multinacional Amazon Web Services (AWS) que ha creado precisamente en Aragón la nueva Región AWS

Europa constituida por tres Zonas de Disponibilidad y que será la séptima de AWS en Europa, uniéndose a las existentes en Dublín, Frankfurt, Londres, París, Estocolmo y Milán.

Desde el punto regulatorio las competencias aragonesas son limitadas pero no inexistentes y cada vez se echa más en falta el desarrollo definitivo del artículo 75, 5ª de nuestro Estatuto de Autonomía de creación de una Agencia Aragonesa de Protección de Datos que tenga como fin, no solamente las cuestiones meramente administrativas y que ya resuelve la Agencia Española, sino que resulta imprescindible que en este contexto que se nos presenta, se acerque a nuestras empresas un órgano en el que apoyarse ante los desafíos a los que ya se ha hecho referencia para que se pueda responder de forma adecuada a los mismos. No resulta de recibo que en plena inmersión tecnológica los empresarios aragoneses tengan que gestionar cuestiones clave, sobre todo en materia de protección de datos sin contar con un órgano con el que cuentan comunidades autónomas como Andalucía, Cataluña o Euskadi, lo que los sitúa en clara desventaja competitiva. Como ya tuvimos ocasión de indicar Aragón ya cuenta con una estructura administrativa y tecnológica que con relativamente poco esfuerzo podría asumir esta competencia de forma satisfactoria.

No podemos finalizar sin recordar la necesidad de que nuestro territorio se vertebre de forma adecuada en el uso de la tecnología ya que se trata de un expreso mandato de nuestro Estatuto de Autonomía que obliga en su artículo 28 a los poderes públicos aragoneses fomentar la investigación, y el desarrollo así como una innovación científica, tecnológica y técnica de calidad, promoviendo las condiciones para garantizar en el territorio de Aragón el acceso sin discriminaciones a los servicios y tecnologías den la información y la comunicación.

aralegisAragón en el Día Europeo de la Protección de Datos
read more

LAS DOS DIMENSIONES DE LA INFORMACIÓN Y DE LOS DATOS – Roberto L. Ferrer Serrano

Podemos observar dos dimensiones a considerar al tratar la información:

  • Cuando esta afecta a personas físicas, debemos ser extremadamente cuidadosos a la hora de transmitir esta información y pensar que puede afectar a terceros de formas que puede ser que no imaginemos en el momento en que vamos a compartir, pero que debemos respetar. Si creamos ese marco de convivencia lograremos que los demás no compartan informaciones que vayan a afectarnos a nosotros o a las personas que tenemos más cerca.

Aquí la norma de referencia será el Reglamento (UE) 2016/67 del Parlamento Europeo y del Consejo  de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y en España la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales

  • Cuando esta afecta simplemente a datos que no pueden vincularse a personas, en este caso la cuestión cambia considerablemente y el principio que debe aplicarse es el de la máxima libertad y facilidad para que los datos circulen libremente.

En este caso la norma de referencia será el  REGLAMENTO (UE) 2018/1807 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 14 de noviembre de 2018 relativo a un marco para la libre circulación de datos no personales en la Unión Europea, conocido como “Free Flow of non-personal Data”.

El principio de libre circulación de datos se ha definido como la «quinta libertad» del mercado único de la UE, junto con la libertad de movimiento de bienes, servicios, personas y capital como afirma la Secretaría de Estado para el Avance Digital. El libre flujo de datos es un requisito esencial para impulsar el crecimiento de la economía de datos dentro de la Unión Europea y el uso de la computación en la nube, por lo que es necesario garantizar que empresas y administraciones públicas puedan almacenar y procesar datos en cualquier lugar de la Unión Europea.

aralegisLAS DOS DIMENSIONES DE LA INFORMACIÓN Y DE LOS DATOS – Roberto L. Ferrer Serrano
read more

VIDEOVIGILANCIA EN EL ÁMBITO LABORAL Y NUEVA LEY NACIONAL DE PROTECCIÓN DE DATOS – Roberto L. Ferrer Serrano

Cada vez se encuentra más generalizada en las empresas, incluso en las de más reducido tamaño la utilización de sistemas de videovigilancia que pueden servir para mejorar la seguridad de los bienes o instalaciones de estas, pero también como medida de control de la actividad laboral de los trabajadores y empleados públicos, lo cual además puede incluir la captación de sonidos, incluidas las conversaciones de estos.

La nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales autoriza tal captación de imágenes y sonidos para el ejercicio de estas funciones de control.

Hay que saber que en este caso se establece la supresión de estos en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. No existe una fijación expresa de este plazo en el caso de las imágenes lo que lleva a plantearse si será de aplicación este mismo plazo o bien habrá de estarse a las obligaciones generales de supresión previstas en el Reglamento Europeo de Protección de Datos en su artículo 17.

Debemos tener en cuenta que habitualmente las organizaciones realizarán el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones de forma conjunta con la del control laboral, si bien podrán hacerlo de forma exclusiva con fines de seguridad o bien solamente se podrán captar con fines estrictamente de control laboral.

Parece evidente que en el caso de que la captación se efectué con una finalidad conjunta el plazo de conservación de las imágenes será de un mes tal y como establece el Artículo 22,3 del Reglamento Europeo de Protección de Datos, surgiendo la duda de si la captación se realiza exclusivamente con finalidades de control laboral deberá suprimirse antes o después de dicho plazo al deber atenderse a los criterios generales de supresión de los datos personales.

Para determinar esta cuestión deberá también tenerse en cuenta la política de privacidad de la Entidad y los plazos de supresión que la misma haya previsto en el Registro de Actividades por lo que la conservación de las imágenes nunca podría superar aquellos previstos en dicho registro.

Finalmente hay que tener en cuenta que habitualmente la grabación de sonidos vendrá asociada habitualmente a grabaciones de imágenes ya que entre imagen y sonido puede establecerse una relación de complementariedad que supone establecer con mayor perfección la situación que ha de registrarse permitiendo mayores cotas de transparencia.

En este caso carecería de lógica entender que las imágenes con sonido tuvieran que suprimirse en un plazo inferior a un mes y deber conservarse solamente el sonido.

Teniendo en cuenta además que la captación de imágenes con finalidades de control laboral, una vez generadas pueden estar sujetas al derecho de limitación que permite también al interesado evitar su borrado en caso necesario, debemos entender que tal tratamiento de datos no siempre supondrá una intrusión en la vida personal de este, sino que podrá utilizarse por el mismo para acreditar aquellas cuestiones que puedan resultar oportunas.

Dado que no tendría tampoco lógica alguna que las imágenes sin sonido tuvieran que suprimirse en un plazo inferior a las que sí que tienen sonido deberemos concluir que estas imágenes sin sonido captadas exclusivamente con finalidades de control laboral  podrán sujetarse al plazo máximo de un mes para su supresión y que solamente en aquellos casos en los que las grabaciones carezcan de sonido, y son necesarias en relación con los fines para las que fueron recogidas o tratadas de otro modo, deberán de conservarse durante un plazo superior.

aralegisVIDEOVIGILANCIA EN EL ÁMBITO LABORAL Y NUEVA LEY NACIONAL DE PROTECCIÓN DE DATOS – Roberto L. Ferrer Serrano
read more

Conclusiones de la Jornada sobre la nueva LOPDGDD del pasado día 31 de Enero en el R. e I. Colegio de Abogados de Zaragoza – Roberto L. Ferrer Serrano

De las cuestiones analizadas en la jornada podemos concluir lo siguiente:

1. Privacidad e intimidad son dos conceptos jurídicos autónomos. Ver http://dej.rae.es/#/entry-id/E192150 y http://dej.rae.es/#/entry-id/E145530
2. La nueva LOPDGDD no establece criterios suficientes para determinar con exactitud el alcance de la expresión “intimidad” a que se refieren los artículos 87, 89 y 90 de la LOPDGDD.
3. La introducción del término “intimidad” en el articulado lleva a confusión en el caso de que se pretendiese incluir las informaciones privadas, y en el caso de que se pretenda limitar a los conceptos meramente íntimos se trataría de una restricción injustificada de los derechos de protección de datos de los trabajadores.
4. En la mayoría de los casos podrá entenderse que “intimidad” se corresponde con un concepto ampliado que incluye informaciones meramente privadas previa exegesis en el supuesto concreto.
Nos encontramos en nuestra opinión de una nueva muestra de cómo una redacción precipitada de una norma introduce mayor inseguridad jurídica que la que existía antes de su alumbramiento.

aralegisConclusiones de la Jornada sobre la nueva LOPDGDD del pasado día 31 de Enero en el R. e I. Colegio de Abogados de Zaragoza – Roberto L. Ferrer Serrano
read more

EL DELEGADO DE PROTECCIÓN DE DATOS (II) – Roberto L. Ferrer Serrano

Se encuentran obligadas al nombramiento de un DPO las empresas que realizan tratamiento de datos como actividad principal de organización, por tanto, debemos conocer los tipos de empresas que requieren contratarlo:

A) Empresas que realizan un tratamiento relevante de datos

El Considerando 91 del Reglamento proporciona algunas orientaciones acerca del concepto de «relevante» pero no es posible dar un número preciso con respecto a la cantidad de datos tratados o al número de personas afectadas.

Según el Grupo de Trabajo para la privacidad de la Unión Europea se pueden tener en cuenta los siguientes factores para determinar si el tratamiento se realiza a gran escala:

  • El número de sujetos
  • El volumen de datos que se están procesando
  • La duración o permanencia de la actividad de procesamiento de datos
  • La extensión geográfica de la actividad de procesamiento

 

Ejemplos de procesamiento relevante:

  • procesamiento de datos de pacientes en el curso regular de los negocios por un hospital
  • procesamiento de datos de viaje de personas que utilizan el sistema de transporte público de una ciudad (por ejemplo, seguimiento a través de tarjetas de viaje)
  • procesamiento de datos geolocalización en tiempo real de los clientes de una cadena internacional de comida rápida para fines estadísticos por un procesador especializado
  • procesamiento de datos de clientes en el curso normal de los negocios por una compañía de seguros o un banco
  • procesamiento de datos personales para publicidad conductual mediante un motor de búsqueda
  • procesamiento de datos (contenido, tráfico, ubicación) por teléfono o proveedores de servicios de Internet

B) Monitorización regular y sistemática de actividades personales

La noción de control periódico y sistemático de los datos no está definida en el Reglamento, aunque:

 

  1. El concepto de «control del comportamiento de los interesados» se menciona en el Considerando 24 e
  2. Incluye todas las formas de seguimiento y perfiles en Internet o realizados con fines de publicidad conductual

 

El Grupo de Trabajo interpreta ‘regular’ como:

  • Repetido a intervalos particulares durante un período determinado
  • Recurrentes o repetidos en horarios fijos
  • Constantemente o periódicamente

 

E interpreta «sistemático» como:

  • Propio de un sistema
  • Preparado, organizado o metódico
  • Realizado en el marco de un plan general de recogida de datos
  • Realizado como parte de una estrategia empresarial

C) Empresas que tratan categorías especiales de datos y datos relacionados con las actividades delictivas

En este supuesto se encuentran los tratamientos de datos de salud, orientación sexual, creencias, ideología, etc. El Reglamento en su artículo 37 se refiere:

  1. al tratamiento de categorías especiales de datos de conformidad con el artículo 9 y
  2. a los datos personales relativos a las condenas penales y los delitos enunciados en el artículo 10.

D) Autoridades u organismos públicos

Se engloban tanto autoridades nacionales, regionales y locales, como otros organismos de derecho público donde la presencia de un DPO puede ser necesaria para proporcionar una protección adicional a los interesados.

 

Como ejemplos encontramos:

  1. servicios de transporte público
  2. suministro de agua y energía
  3. infraestructuras viarias o
  4. los colegios profesionales
aralegisEL DELEGADO DE PROTECCIÓN DE DATOS (II) – Roberto L. Ferrer Serrano
read more

EL DELEGADO DE PROTECCIÓN DE DATOS (I) – Roberto L. Ferrer Serrano

El nombramiento del Delegado de protección de datos (DPO por sus siglas en inglés) es una obligación de las empresas, en cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Antes de realizar tratamientos de datos cuando exista un alto riesgo para los derechos y libertades de las personas físicas las empresas deberán:

  • Consultar a su Delegado de Protección de Datos (que estará dotado de inmunidad en sus funciones) y,
  • Realizar una evaluación del impacto de dichas operaciones

La función principal de esta figura consiste en participar en todas las cuestiones relativas a la protección de datos personales:

  1. A) de forma adecuada y
  2. B) en tiempo oportuno

Existen estimaciones que elevan entre 50000 a 75000 Delegados en la Unión Europea.

Supuestos de empresas afectadas

Se trata de empresas que tengan como actividad principal de organización el tratamiento de los datos y las actividades principales de un responsable del tratamiento se refieren a «actividades principales» y debemos tener en cuenta que:

 

  1. a) Son las operaciones clave necesarias para alcanzar las metas de la organización de que se trate y
  2. b) No deben interpretarse en el sentido de excluir las actividades en las que el tratamiento de datos forma parte inseparable de la actividad del responsable del tratamiento o del procesador. Pensemos, por ejemplo, en un hospital cuya actividad principal es proporcionar atención médica y necesita procesar datos de salud con el fin de dar el debido cuidado médico a los pacientes. Por lo tanto, el procesamiento de estos datos médicos requerirá la figura del DPO.

 

aralegisEL DELEGADO DE PROTECCIÓN DE DATOS (I) – Roberto L. Ferrer Serrano
read more

FUNCIONES DEL DELEGADO DE PROTECCIÓN DE DATOS – Roberto L. Ferrer Serrano

Tras centrarnos en las actividades y en los tipos de empresas que requerían contratar un Delegado de Protección de datos (DPO), vamos a tratar las funciones que desarrolla el DPO y que las empresas respaldarán facilitando:

  • recursos necesarios para el desempeño de las mismas
  • acceso a los datos personales y a las operaciones de tratamiento
  • mantenimiento de conocimientos especializados
  • garantizarán que no reciba ninguna instrucción en el desempeño de sus funciones y no será destituido ni sancionado por el responsable o el encargado
  • solo rendirá cuentas directamente al más alto nivel jerárquico de la empresa

Entre las funciones figuran:

a) informar y asesorar al responsable o al encargado del tratamiento y a sus empleados de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros

b) supervisar el cumplimiento de lo dispuesto en las anteriores normas y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes

c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 del Reglamento

d) cooperar con la autoridad de control (En España la Agencia Española de Protección de Datos)

e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 del Reglamento, y realizar consultas

aralegisFUNCIONES DEL DELEGADO DE PROTECCIÓN DE DATOS – Roberto L. Ferrer Serrano
read more

¿QUIÉN PUEDE DESARROLLAR LAS FUNCIONES DE DELEGADO DE PROTECCIÓN DE DATOS? – Roberto L. Ferrer Serrano

Ésta es una de las dudas que se nos plantean puesto que se trata de una función que puede ser asumida por:

  1. trabajadores de la empresa o
  2. por profesionales especializados mediante un régimen de contratación de arrendamiento de servicios (como un Abogado), pudiéndose optar por equipos interdisciplinares en los que se combinen diferentes habilidades individuales que, trabajando en equipo, puedan servir más eficientemente a la organización.

En cualquier caso, el artículo 37, apartado 5, del Reglamento Europeo dispone que el DPO será designado atendiendo a:

  • sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho
  • la práctica en materia de protección de datos y
  • a su capacidad para desempeñar las funciones indicadas en el artículo 39 del Reglamento

Se deberán atender los siguientes aspectos:

A) Nivel de experiencia

Es una cuestión que debe ser proporcional a la complejidad y cantidad de datos que una organización procesa.

Y existe una diferencia en función de si la organización transfiere sistemáticamente datos personales fuera de la Unión Europea o si son ocasionales.

B) Cualidades profesionales

  • Experiencia en leyes y prácticas nacionales y europeas de protección de datos, y conocimiento del Reglamento Europeo de Protección de Datos y del sector empresarial
  • Comprensión de las operaciones de procesamiento de datos realizadas, de los sistemas de información y de las necesidades de seguridad de los datos

 

C) Capacidad para realizar sus tareas

La capacidad para cumplir las tareas se refiere tanto a sus cualidades y conocimientos personales, como a su puesto dentro de la organización.

aralegis¿QUIÉN PUEDE DESARROLLAR LAS FUNCIONES DE DELEGADO DE PROTECCIÓN DE DATOS? – Roberto L. Ferrer Serrano
read more

EL CORPUS Y EL ANIMUS EN EL CUMPLIMIENTO DE LAS NORMAS DE PRIVACIDAD – Roberto L. Ferrer Serrano

Debemos destacar la necesidad de cumplir con la normativa de protección de datos y de encontrarse en todo momento en situación de poder demostrar dicho cumplimiento.

 

Por ejemplo:

  • en el Considerando 86 dedicado a las brechas de seguridad se habla de la obligación de los responsables del tratamiento de que cuando una de estas se produzca deberá notificarla a la autoridad de control competente, «a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas»
  • en el Considerando 42 se indica que «cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento»
  • Esto aparece nuevamente en los artículos 5, 7, 11, 24, … y en los considerandos 74, 82, 90, … del Reglamento

 

Pero queremos incidir en que esa capacidad de demostración no solamente se refiere a los aspectos meramente documentales, ya que del cumplimiento de la normativa de protección de datos resulta que el mero hecho de disponer de documentación, más o menos correctamente redactada, no nos permitirá demostrar que esta se está cumpliendo, más allá de lo meramente formal.

 

Esas formalidades deberán venir acompañadas de dos elementos esenciales más que deberán poderse acreditar:

 

  1. acreditar la existencia de un trabajo de seguimiento y actualización de la documentación que se disponga
  2. extender el conocimiento de la necesidad de cumplimiento de la normativa de protección de datos a todos los niveles de la empresa, desde la gerencia y hasta los puestos aparentemente más alejados de las normas de privacidad

 

aralegisEL CORPUS Y EL ANIMUS EN EL CUMPLIMIENTO DE LAS NORMAS DE PRIVACIDAD – Roberto L. Ferrer Serrano
read more

EL ANÁLISIS DE RIESGOS EN EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS (II) – Roberto L. Ferrer Serrano

Una vez explicado qué es el análisis de riesgos, debemos hablar de la realización del mismo y, para ello, debe establecerse un proceso específico que tiene tres pasos fundamentales:

A) Identificar amenazas.

Estas amenazas pueden provocar riesgos a la privacidad o a la confidencialidad. De estos riesgos:

  • los primeros están más vinculados a vulneraciones de normas que garanticen derechos de los ciudadanos
  • los segundos se encuentran más propiamente dentro de lo que se conoce la seguridad de la información

B) Evaluar los riesgos

Lo primero que tenemos que tener en cuenta es considerar todos los posibles escenarios en los cuales va a darse un riesgo.

Después valoraremos el impacto de la exposición a la amenaza, junto a la probabilidad de que esta se materialice. Para hacerlo correctamente esa valoración conllevará asignar tanto a la probabilidad como a dicha amenaza de una magnitud, que puede ser: alto, medio, bajo, o todavía mejor valorarla del 1 al 5.

C) Tratar los riesgos hasta alcanzar el nivel de seguridad necesario. El objetivo de tratar los riesgos es disminuir el nivel de exposición de la empresa a estos aplicando salvaguardas, hasta situar el riesgo residual (el que queda después de aplicar las salvaguardas) en un nivel admisible.

Y con estos pasos tenemos los aspectos fundamentales para aplicar las medidas que habrán de garantizar un nivel de seguridad adecuado al riesgo.

 

aralegisEL ANÁLISIS DE RIESGOS EN EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS (II) – Roberto L. Ferrer Serrano
read more