Blog - DPO & it law

El pasado 24 de junio a propuesta del ministro de Justicia, Rafael Catalá, el Consejo de Ministros ha impulsado el anteproyecto de Ley Orgánica de Protección de Datos con el fin de mejorar la regulación de la protección de datos de carácter personal y adaptar la legislación española a las disposiciones contenidas en el RGPD (Reglamento UE 2016/679) antes de su definitiva entrada en vigor fijada para el próximo 25 de mayo de 2018.

En DPO&itlaw hemos podido acceder al texto que con tanto secretismo se ha estado confeccionando. Actualmente está accesible en el siguiente enlace del Diario la Ley  ( descargar documento), no obstante os hemos habilitado en nuestro Blog un espacio para que os lo podáis descargar en formato Word y podáis trabajarlo y editarlo correctamente en vuestro trabajo diario. Anteproyecto LOPD

Conforme el considerando IV el Anteproyecto se estructura de la siguiente manera:

ESTRUCTURA DE LA LOPD

Consta de 78 artículos estructurados en 8 títulos, 10 disposiciones adicionales, 5 disposiciones transitorias, 1 disposición derogatoria única y 7 disposiciones finales.

De entre los 8 títulos destacan los siguientes:

El Título I. Disposiciones generales.

Comienza regulando el objeto de la ley orgánica, que no es otro que la adaptación del ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, Reglamento general de protección de datos, y completar sus disposiciones. A su vez, establece que el derecho fundamental de las personas físicas a la protección de datos de carácter personal, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.

Destaca la novedosa regulación de los datos referidos a las personas fallecidas, pues, tras excluir del ámbito de aplicación de la ley su tratamiento, se permite que los herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido, que por lo demás se podrán incorporar a un registro. También excluye del ámbito de aplicación los tratamientos que se rijan por disposiciones específicas, en referencia, entre otras, a la normativa que transponga la citada Directiva (UE) 2016/680, previéndose en la disposición transitoria quinta la vigencia de estos tratamientos con arreglo a la Ley Orgánica 15/1999 hasta que se apruebe la citada normativa.

El Título II. Principios de protección de datos.

Se presumen exactos y actualizados los datos obtenidos directamente del propio afectado y se recoge expresamente el deber de confidencialidad, se regulan garantías específicas y se aplica el principio de minimización de datos para entender desproporcionado el tratamiento de los datos por quien carezca de competencia. Dentro de lo que se viene denominando la “legitimación para el tratamiento”, se alude específicamente al consentimiento, que ha de proceder de una declaración o de una clara acción afirmativa del afectado, excluyendo lo que se conocía como “consentimiento tácito”, se permite la casilla no premarcada en el ámbito de la negociación o formalización de un contrato, y se fija la edad a partir de la cual el menor puede prestar su consentimiento en trece años para asimilar el sistema español al de otros Estados de nuestro entorno.

Se regulan asimismo las posibles habilitaciones legales para el tratamiento que se derive del ejercicio de potestades públicas o del cumplimiento de una obligación legal y se prevé que el interés legítimo de un determinado responsable o de un determinado tercero pueda prevalecer sobre el derecho a la protección de datos del afectado. Y se mantiene la prohibición de llevar a cabo tratamientos con la única finalidad de almacenar información referida a las categorías de datos especialmente protegidos.

En el Capítulo II del Título I se recogen “Disposiciones aplicables a tratamientos concretos”, que son los supuestos antes sometidos a regímenes especiales, en los que se considera de aplicación la regla del equilibrio de intereses o ponderación del interés legítimo como base jurídica para el tratamiento. En segundo lugar, figuran las categorías que ya eran objeto de una regulación específica, legal o reglamentaria, como los sistemas de información crediticia, complementado por una disposición adicional, los tratamientos realizados con fines de videovigilancia y los sistemas de exclusión publicitaria comúnmente denominados “listas Robinson”, los tratamientos llevados a cabo en el ámbito de la función estadística pública o, como novedad, los sistemas de información de denuncias internas en el sector privado.

El Título III Los derechos de las personas.

Adapta al Derecho español el principio de transparencia en el tratamiento del reglamento europeo, que regula el derecho de los afectados a ser informados acerca del tratamiento, se recoge la denominada “información por capas” ya generalmente aceptada en ámbitos como el de la videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales como las “cookies”).

Se hace uso en este título de la habilitación permitida por el considerando 8 del Reglamento (UE) 2016/679 para complementar su régimen, garantizando la adecuada estructura sistemática del texto. A continuación, la ley orgánica contempla los derechos de Acceso, Rectificación, Supresión, Oposición, derecho a la Limitación del tratamiento y derecho a la Portabilidad. La obligación de bloqueo garantiza la adecuada aplicación y supervisión del cumplimiento de las normas de protección de datos.

El Título IV. El Responsable y el Encargado del tratamiento.

Es preciso tener en cuenta que la mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan. Con el fin de aclarar estas novedades, la ley orgánica mantiene la misma denominación del Capítulo IV del Reglamento, dividiendo el articulado en cuatro capítulos dedicados, respectivamente, a: las medidas generales de responsabilidad activa, al régimen del encargado del tratamiento, a la figura del delegado de protección de datos y a los mecanismos de autorregulación y certificación.

La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la ley orgánica, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica. La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente. La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona. Los conocimientos en la materia se podrán acreditar mediante esquemas de certificación. El responsable o el encargado deberán dotar al delegado de medios materiales y personales suficientes y no podrán removerle, salvo en los supuestos de dolo o negligencia grave. Es de destacar que el delegado de protección de datos permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento. 

Así mismo dentro de los 78 artículos podemos encontrar las siguientes novedades.

1. No será necesario solicitar el consentimiento para los ficheros de contactoprofesionales en base al interés legítimo, no obstante sí es será necesario informar.

Artículo 12. Tratamiento de datos de contacto y de empresarios individuales.

1. Se entenderá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:
   1. Que el tratamiento se refiera únicamente a los mínimos datos imprescindibles para su localización profesional.
   2. Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
2. El mismo amparo legal tendrá el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.

2. Otra novedad que introduce el Anteproyecto es que las las Camaras de videovigilancia puedan captar la vía pública siempre y cuando su finalidad sea preservar las seguridad de las personas y bines de la empresa.

Artículo 15. Tratamientos con fines de videovigilancia.

1. Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones.
2. Sólo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior. 
   No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte. 
   Respecto a la Portabilidad de los datos solo es necesario respecto de los datos facilitados y generados, NO a los datos inferidos utilizando estos últimos.

3. En relación con el derechos de portabilidad se aclara que los datos que deben de ser objeto de portabilidad serán aquellos que haya facilitado el usuario y hayan sido generados durante la prestación del servicios, pero no se facilitarán los datos que el responsable haya inferido de éstos últimos, los cuales en todo caso podrán someterse al derecho de acceso, rectificación o surpresión.

Artículo 27. Derecho a la portabilidad.

1. El derecho a la portabilidad regulado en el artículo 20 del Reglamento (UE) 2016/679 podrá ejercerse por el afectado respecto de los datos que hubiera facilitado al responsable del tratamiento y de los que se deriven directamente del uso por aquél de los servicios prestados por el responsable.
2. El derecho a la portabilidad no se extenderá a los datos que el responsable hubiere inferido a partir de aquellos a los que se refiere el apartado anterior. En todo caso, el afectado podrá ejercer respecto de estos datos los restantes derechos enumerados en este capítulo, particularmente el derecho de acceso contemplado en el artículo 15 del Reglamento (UE) 2016/679.

4. A pesar de que el RGPD no habla del bloqueo de datos, salvo en algunos casos o supuestos en los que hace referencia a mantener los para la defensa del Responsableo, el Anteproyecto expresamente y con muy buen criterio permite el bloqueo de datos 

Artículo 29. Bloqueo de los datos.

1. El responsable del tratamiento estará obligado a bloquear los datos en los casos previstos en los artículos 16 y 17.1 a), d) y e) del Reglamento (UE) 2016/679, así como cuando deba proceder de oficio a su rectificación o supresión.
2. Los datos bloqueados quedarán a disposición exclusiva del tribunal, el Ministerio Fiscal u otras Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de las mismas.
3. Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada en el apartado anterior.
4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus mpetencias, podrán fijar excepciones a la obligación de bloqueo establecida en este artículo.

5. Se identifica en el art. 35 con nombres y apellidos a aquellas organizaciones que necesariamente deberán nombrar a un DPO, facilitando enormemente la labor de interpretación del RGPD, que a pesar de haber sido aclarada por el GT 29 seguía presentando muchas dudas.

Artículo 35. Designación de un delegado de protección de datos.

1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679. A tal efecto, se consideran incluidas en dichos supuestos, en todo caso, las siguientes entidades:
   1. Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
   2. Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
   3. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones.
   4. Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos.
   5. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
   6. Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
   7. Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
   8. Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
   9. Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
   10. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
   11. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
   12. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
   13. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
   14. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
   15. Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.

6. Por último conviene destacar también los supuestos en los que sería necesaria la emisión de un informe de Evaluación de Impacto:

Artículo 30. Obligaciones generales del responsable y encargado del tratamiento.

1. Los responsables y encargados, tras ponderar los riesgos que el tratamiento pueda generar en los derechos de los afectados y en particular en su derecho a la protección de datos, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el Reglamento (UE) 2016/679, con la presente ley orgánica, la legislación sectorial y sus normas de desarrollo. En particular valorarán si proceder la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3a del Capítulo IV del citado reglamento.
2. Para la adopción de las medidas a que se refiere el apartado anterior los responsables y encargados del tratamiento tendrán en cuenta, en particular, los mayores riesgos que podrían producirse en los siguientes supuestos:
   1. Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
   2. Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.
   3. Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento(UE) 2016/679 y 10 y 11 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas.
   4. Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.
   5. Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad para las que se hubiesen establecido medidas de apoyo.
   6. Cuando se produzca un tratamiento masivo que afecte a un gran número de afectados o implique la recogida de una gran cantidad de datos personales.

Anteproyecto de Ley Orgánica de Protección de Datos LOPD Junio 2017

Descargar documento

Según el art 5 c del RLOPD

“La cesión o comunicación de datos consiste en un tratamiento de datos que supone su revelación a una persona distinta del interesado”

Así mismo el art 11 de la LOPD establece en detalle las condiciones en las que podrán o no ser cedidos los datos:

Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

La regla general por tanto de toda cesión o comunicación de datos es, la obtención del consentimiento del interesado para la cesión o comunicación de datos.

Los principales supuestos concretos que nos podemos encontrar en el ámbito de la relación laboral serían los siguientes:

• Cesión de datos de trabajadores a empresas del grupo.
• Cesión de datos de trabajadores a sindicatos y representantes de trabajadores.
• Comunicación de datos a empresas para la prevención de riesgos laborales.
• Comunicación de datos de trabajadores a mutuas de accidentes de trabajo y enfermedades profesionales.
• Supuesto de comunicación de datos por empresas subcontratistas.

1. Cesión de datos de trabajadores a empresas del grupo

En atención a lo establecido en el Informe de la Agencia de Protección de Datos  0494/2008 y de acuerdo a la Sentencia de la Sección Novena de la sala de lo contencioso-Administrativo  del Tribunal Superior de Justicia de 16 de Octubre de 2000:

Las sociedades que se integren dentro de un Grupo de Empresas, tienen personalidad jurídica plena e independiente entre sí, y por tanto todo intercambio de datos que se produzca entre las distintas empresas del Grupo se considerará como una cesión o comunicación de datos. En este sentido, cada empresa del grupo deberá previamente:

• Informar de la cesión y su finalidad al afectado.
• Recabar su consentimiento.

No obstante lo anterior, es común en los grupos de empresas la existencia de una sociedad matriz que normalmente se encarga de la gestión de los datos de las otras empresas para la prestación servicios de elaboración de nóminas, llevanza de la contabilidad, soporte informático, marketing etc. En estos supuestos si bien estamos ante una cesión o comunicación de datos de trabajadores habrá de tenerse en cuanta que:

• Para evitar que esta comunicación sea interpretada como una cesión, se deberá formalizar un contrato de encargado de tratamiento entre la empresa matriz y aquella que le remita sus datos.
• La empresa matriz es la empresa encargada de tratamiento, y tratará los datos conforme a instrucciones que le remitan las empresas responsables de los datos.
• La empresa remitente de los datos sigue siendo responsable de sus ficheros.

Por tanto, salvo en supuestos de prestación de servicios por parte de la empresa matriz a las filiales, o entre las mismas, toda cesión o comunicación de datos de trabajadores que no suponga el acceso datos por cuenta de terceros requerirá el consentimiento del trabajador, así como el deber de información establecido en el art. 15 de la LOPD.

2. Cesión de datos de trabajadores a sindicatos y representantes de trabajadores

En el el artículo 64 del Estatuto de los Trabajadores se otorga a los delegados sindicales y a los miembros del comité de empresa la facultad de acceder a determinada documentación e información, entre otros:

• estadísticas sobre el índice de absentismo y sus causas,
• los accidentes de trabajo y enfermedades profesionales y sus consecuencias,
• índices de siniestralidad,
• estudios de medio ambiente laboral y mecanismos de prevención utilizados,
• ser informado por faltas muy graves impuestas,
• acceso a la copia básica de los contratos de trabajo.

En definitiva los Comités de empresa o Delegados Sindicales  están facultados según el art 64 de Estatuto para recibir información de “ todos los temas y cuestiones señalados en cuanto directa o indirectamente tengan o puedan tener repercusión en las relaciones laborales”. De esta manera, la empresa estaría obligada a facilitar toda esta información que afecte directa o indirectamente a las relaciones laborales excepto aquella que pertenezca a la esfera de la intimidad del trabajador. En este sentido:

1. No sería necesario informar respecto al salario de los trabajadores. A este respecto la Sentencia del Tribunal Supremo de 19 de febrero de 2009 establece:

“la información de los salarios por categorías y departamentos, (…) cumple suficientemente con las exigencias que al respecto establece el artículo 1 de la Ley 2/1991” () por lo que no sería necesario concretar individualizadamente el salario de todos los trabajadores bastando informar respecto de los salarios por categorías y departamentos.

2. No se tendría la obligación de informar de las direcciones de correo electrónico de los trabajadores por cuanto éstas no repercuten en las relaciones laborales.
3. En relación a los datos de absentismo y, en concreto a las ausencias por incapacidad temporal de los trabajadores (enfermedades y accidentes), la empresa deberá informar sobre las causas y consecuencias de los mismos pero no (en caso de conocerse) respecto de las patologías médicas de los trabajadores.
4. Respecto al contrato de trabajo, el empresario entregará a la representación legal de los trabajadores una copia básica de todos los contratos que deban celebrarse por escrito, a excepción de contratos de relación laboral especial (alta dirección). La copia básica contendrá todos los datos del contrato a excepción de DNI, domicilio, estado civil, y cualquier otro que de acuerdo con la Ley Orgánica 1/1982, de 5 de Mayo, pudiera afectar a su intimidad personal.

3. Comunicación de datos a empresas de prevención de riesgos laborales

1. Supuesto de comunicación de datos de la empresa a la Mutua de Prevención de Riesgos Laborales sobre datos de sus empleados:

De acuerdo con el artículo 14.2 de la Ley 31/1995 de Prevención de Riesgos Laborales (LPRL) se establece la obligación a la empresa de establecer un sistema de prevención y protección de riesgos laborales. Para el desarrollo de dicha actividad deberá contar bien con un servicio de prevención propio o contratar un servicio ajeno debidamente acreditado.

Por tanto, en los supuestos en los que se contrate un servicio prevención ajeno a la empresa se deberá formalizar el correspondiente contrato de prestación de servicios con la empresa de Servicios de Prevención de Riesgos Laborales. Dicha empresa accederá a los datos en calidad de encargado de tratamiento y el contrato de prestación de servicios deberá cumplir con las previsiones del art 12 de la LOPD.

2. Supuesto especial actividades de vigilancia y control de la salud de los trabajadores:

No obstante lo anterior, la actividad de vigilancia y control de la salud de los trabajadores no se considerará como un acceso a datos por cuenta de terceros en los supuestos de servicios de prevención de riesgos laborales ajenos.

De acuerdo con los sucesivos informes de la Agencia Española de Protección de datos, Informes 0391/2006, 198/2008 y 024/2009, la empresa de servicios de Prevención de Riesgos será considerada en estos supuestos como responsable del tratamiento.

En consecuencia cuando la empresa contrate con una Mutua la protección de las contingencias profesionales de los trabajadores o la prestación económica de incapacidad temporal derivada de contingencias comunes, será considerada responsable del tratamiento de datos que realizan de acuerdo con las funciones que tiene legalmente atribuidas, y no con un mero tratamiento por cuanta de terceros.

Podemos concluir que tanto las empresas encargadas de la Prevención de Riesgos Laborales como las Mutuas de Accidentes tienen la consideración de responsables del tratamiento de datos que realizan, al amparo de las funciones que tiene legalmente atribuidas.”

El artículo 22 de la LPRL en su apartado 6 establece expresamente que “las medidas de vigilancia y control de la salud de los trabajadores se llevarán a cabo por el personal sanitario con competencia técnica, formación y capacidad acreditada”. El apartado 4 del mismo artículo determina que “el acceso a la información médica de carácter personal se limitará al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador”. Por tanto, las empresas solo pueden tener conocimiento de las conclusiones que se deriven de los reconocimientos en relación a la aptitud del trabajador para el desempeño de su puesto. En este sentido, la empresa de Prevención de Riesgos Laborales deberá remitir a la empresa las conclusiones que se deriven de los reconocimientos efectuados y en relación con la aptitud del trabajador para el puesto desempeñado siendo responsable de los datos de salud relativos a la revisión médica.

4. Comunicación de datos a mutuas de accidentes de trabajo y enfermedades profesionales

El empresario de acuerdo con el artículo 99 de la Ley General de la Seguridad Social debe proceder a la afiliación de sus trabajadores y establecer la protección de los mismos a través de un sistema de una entidad gestora o de una Mutua de Accidentes. En estos supuestos de cesión o comunicación de daos no se requerirá consentimiento de los trabajadores pues resulta necesaria para el cumplimiento de las coberturas y prestaciones que son exigidas de acuerdo al artículo 99 de la Ley General de la Seguridad Social y sin las cuales no podría mantenerse lícitamente la relación laboral.

El cumplimiento de la obligación legal de facilitar datos de los trabajadores respecto de las contingencias de accidentes de trabajo y enfermedad profesional, implica la necesidad de comunicar a la mutua correspondiente los datos identificativos de los empleados objeto de la cobertura. En este sentido, únicamente podrán cederse datos necesarios para el cumplimiento de la obligación y solamente aquellos datos que sean elaborados por la Mutua relativos a datos de salud de los trabajadores serán de su responsabilidad y no podrán ser comunicados a los empresarios, excepto habilitación legal o el oportuno consentimiento previo del trabajador.

5. Supuesto de comunicación de datos por las empresas subcontratadas

El Estatuto de los trabajadores, establece en su artículo Artículo 42.1 que:

“Los empresarios que contraten o subcontraten con otros la realización de obras o servicios, correspondientes a la propia actividad de aquellos deberán comprobar que dichos contratistas están al corriente del pago de las cuotas de la seguridad social a tal efecto recabarán por escrito, con identificación de la empresa afectada, certificación negativa por descubiertos en la Tesorería de la Seguridad Social”.

Esto supone la responsabilidad solidaria del empresario principal, durante el año siguiente a la terminación de su encargo, de las obligaciones de naturaleza salarial contraídas por los contratistas y subcontratistas con sus trabajadores.

Es práctica habitual en la subcontratación de servicios  que se envíen entre las empresas los documentos TC1 y TC2 como acreditativos de estar al corriente de los pagos a la Seguridad Social, ya que los mismos recogen la relación nominal de los trabajadores respecto a los cuales el empresario ha dado cumplimiento de sus obligaciones de abono de la correspondiente cuota a la seguridad Social, pero.

La AEPD ha estableció a través de sus informes en sucesivas ocasiones que no existe ninguna habilitación legal que posibilitase la cesión de datos, y por tanto que no se encontraba recogida ni en el Estatuto de los Trabajadores ni en la Ley de Prevención de Riesgos Laborales, siendo por tanto necesario el consentimiento previo de los afectados antes de proceder a la cesión.  Sin embargo en su informe 412/2009 estableció  lo siguiente:

El artículo 42.2 del Estatuto de los Trabajadores, impone al contratista principal una responsabilidad solidaria, responsabilidad que implica atender el cumplimiento de una obligación de naturaleza salaria y las referidas a la Seguridad Social durante el período de vigencia de la contrata.

Las obligaciones, según el Código Civil en su artículo 1089 “nacen de la ley, contratos ” En el supuesto que nos ocupa la obligación nace de una Ley, el Estatuto de los Trabajadores, asimismo continúa señalando el Código Civil en el artículo 1088 que “Toda obligación consiste en dar, hacer o no hacer alguna cosa”.

El Estatuto de los Trabajadores impone una obligación solidaria definida a sensu contrario en el artículo 1137 del ya citado Código Civil como “La concurrencia de dos o más acreedores o dos o más deudores en una sola obligación no implica que cada uno de aquéllos tenga derecho a pedir, ni cada uno de éstos deba prestar íntegramente la cosa objeto de la misma. Sólo habrá lugar a esto cuando la obligación expresamente lo determine, constituyéndose con el carácter de solidaria.”

De la definición se desprende que cuando estemos en presencia de una obligación solidaria cada uno de los deudores deberá prestar íntegramente la cosa objeto de la misma. Por tanto, si el contratista principal es obligado solidariamente de la deuda salarial y a las referidas a la Seguridad Social durante el período de vigencia de la contrata, deberá de conocer el contenido íntegro de dicha obligación para poder cumplirlas.

Por todo ello, dado que el Estatuto de los Trabajadores impone una un deber al empresario principal, la comunicación de ciertos datos tales como el TC2, resulta conforme con al Ley Orgánica 15/1999 y el Reglamento de desarrolla, pues se haya expresamente prevista en una norma con rango de Ley. Además el propio Código Civil exige atender íntegramente las obligaciones solidarias por lo que es preciso conocer el contenido de la misma.

En consecuencia, la cesión de los TC2 estaría amparada en el artículo 7.3 de la Ley Orgánica 15/1999, en relación con el artículo 42.2 del Estatuto de los Trabajadores y por el alcance que el Código Civil impone a las obligaciones solidarias.

1.3.4. VIOLACIONES DE SEGURIDAD

Las notificaciones sobre violaciones de seguridad o quiebras vienen recogidas en los arts. 33 y 34 y considerandos 85 a 88 del RGPD.

Artículo 33: Notificación de una violación de la seguridad de los datos personales a la autoridad de control

1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 (Competencias de la Autoridad de Control)sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.
3. La notificación contemplada en el apartado 1 deberá, como mínimo:
   1. describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
   2. comunicar el nombre y los datos de contacto del Delegado de Protección de Datos o de otro punto de contacto en el que pueda obtenerse más información;
   3. describir las posibles consecuencias de la violación de la seguridad de los datos personales;
   4. describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
4. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
5. El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.

Artículo 34: Comunicación de una violación de la seguridad de los datos personales al interesado

1. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
2. La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las recomendaciones establecidas en el artículo 33, (Notificación de violación de seguridad) apartado 3, letras b), c) y d).
3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:
   1. el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;
   2. el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1;
   3. suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.
4. Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.

La notificación de las violaciones o brechas de seguridad fue introducida por el art.4.2 de la Directiva sobre privacidad y comunicaciones electrónicas (2002/58/CE) y transpuesta al derecho español por la Ley General de Telecomunicaciones (Ley 9/2014 de 9 de Mayo) a través de su art. 41.2 y 3 y en los art. 2 y 3 del Reglamento UE (611/2013). Si bien dichas notificaciones o violaciones de seguridad sólo afectaban a los operadores de servicios de comunicaciones electrónicas, a partir del 18 de mayo de 2018 las notificaciones sobre violaciones o brechas de seguridad deberán ser notificadas por los responsables de tratamiento a las Autoridades de Control y, en su caso, a los interesados si las mismas suponen un alto riesgo para los derechos y libertades de las personas físicas.

A. Notificaciones a las Autoridades de Control

1. Alcance

El responsable de tratamiento deberá notificar a la Autoridad de Control tan pronto como tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales. Dicha notificación deberá realizarse sin dilación indebida y a más tardar en el plazo de 72 horas después de que haya tenido constancia de la misma, salvo que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases.

Así mismo, se establece que el encargado del tratamiento estará obligado a notificar sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

2. Contenido

La comunicación deberá contener como mínimo la siguiente información:

• Una descripción de la naturaleza de la violación de la seguridad de los datos personales: indicando si es posible las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
• El nombre y los datos de contacto del Delegado de Protección de Datos o de otro punto de contacto en el que pueda obtenerse más información;
• Una descripción de las posibles consecuencias de la violación de la seguridad de los datos personales;
• Una descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Así mismo, la violación de seguridad deberá quedar registrada y documentada por el responsable de tratamiento identificando los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas (Esta medida de obligado cumplimiento para los responsables es muy parecida a la medida de seguridad del Registro de Incidencias que marca el RLOD).

Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

B. Notificaciones a los interesados

1. Alcance

Además de la comunicación a la Autoridad de Control el responsable tratamiento deberá comunicar al interesado sin dilación indebida, la violación de la seguridad de los datos personales cuando la misma entrañe un alto riesgo para los derechos y libertades de las personas físicas.

No será necesaria la comunicación al interesado, si el responsable cumple con alguna de las siguientes condiciones:

• El responsable del tratamiento ha adoptado con anterioridad a la violación de seguridad (ex-ante), medidas de protección técnicas y organizativas apropiadas sobre los datos que sufrieron dicha brecha o violación de seguridad, de manera que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como por ejemplo el cifrado;
• El responsable del tratamiento tras la violación de seguridad (ex-post) ha tomado medidas para garantizar que ya no se materializará un alto riesgo para los derechos y libertades del interesado;
• Suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

2. Contenido

La comunicación al interesado describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la siguiente información:

• El nombre y los datos de contacto del Delegado de Protección de Datos o de otro punto de contacto en el que pueda obtenerse más información;
• Una descripción de las posibles consecuencias de la violación de la seguridad de los datos personales;
• Una descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Por último, se establece que en aquellos supuestos en los que el responsable no haya comunicado al interesado la violación de la seguridad de los datos personales, la Autoridad de Control, podrá exigirle que lo haga o que cumpla alguna de las condiciones anteriormente señaladas, si ésta última considera que existe probabilidad de que la violación de seguridad entrañe un alto riesgo para los derechos y libertades de las personas físicas.

CONCLUSIONES

• La comunicación a la Autoridad de Control de las violaciones de seguridad que afecten a datos personales se deberán realizar por el responsable del tratamiento sin dilación y en el plazo de 72.
• La comunicación a los interesados de las violaciones de seguridad que supongan un alto riesgo para los derechos y libertades de las personas físicas se deberán realizar por el responsable del tratamiento sin dilación indebida.

1.3.5. EVALUACIÓN DE IMPACTO

La evaluación de impacto viene recogida en el art. 35 y en los considerandos 90 a 93 del RGPD.

Artículo 35: Evaluación de impacto relativa a la protección de datos

1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
2. El responsable del tratamiento recabará el asesoramiento del Delegado de Protección de Datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.
3. La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:
   1. evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
   2. tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9 (Tratamiento de categorías especiales de datos personales), apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 (Tratamiento de datos personales relativos a condenas e infracciones penales), o
   3. observación sistemática a gran escala de una zona de acceso público.
4. La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el apartado 1. La autoridad de control comunicará esas listas al Comité a que se refiere el artículo 68 (Comité Europeo de Protección de Datos).
5. La autoridad de control podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos. La autoridad de control comunicará esas listas al Comité.
6. Antes de adoptar las listas a que se refieren los apartados 4 y 5, la autoridad de control competente aplicará el mecanismo de coherencia contemplado en el artículo 63 (Mecanismo de coherencia) si esas listas incluyen actividades de tratamiento que guarden relación con la oferta de bienes o servicios a interesados o con la observación del comportamiento de estos en varios Estados miembros, o actividades de tratamiento que puedan afectar sustancialmente a la libre circulación de datos personales en la Unión.
7. La evaluación deberá incluir como mínimo:
   1. una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
   2. una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
   3. una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y
   4. las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
8. El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo 40 (Códigos de conducta) por los responsables o encargados correspondientes se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de la evaluación de impacto relativa a la protección de datos.
9. Cuando proceda, el responsable recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.
10. Cuando el tratamiento de conformidad con el artículo 6 (Licitud del tratamiento), apartado 1, letras c) o e), tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de aplicación excepto si los Estados miembros consideran necesario proceder a dicha evaluación previa a las actividades de tratamiento.
11. En caso necesario, el responsable examinará si el tratamiento es conforme con la evaluación de impacto relativa a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.

Un análisis en profundidad de las Evaluaciones de Impacto excede del ámbito del presente curso de Actualización al RGPD. No obstante, conviene señalar algunos aspectos.

1. Alcance

La Evaluación de Impacto deberá realizarse cuando sea probable que un tipo de tratamiento por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, art.35.1

En todo caso la Evaluación de Impacto deberá realzarse en tres supuestos:

1. Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas.
2. Tratamiento a gran escala de datos sensibles.
3. Observación sistemática a gran escala de una zona de acceso público.

Es también es necesario realizar una mención al considerando 91 para tratar de esclarecer que se entiende por gran escala según el RGPD:

(91)….las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos.

Así mismo, permite a las Autoridades de Control de los Estados miembros establecer listas de tipos de operaciones de tratamiento que requieren Evaluación de Impacto o que consideren que no es necesaria dicha evaluación.

2. Contenido

Respecto al contenido mínimo de la Evaluación el art. 35.7 del RGPD señala que deberá como mínimo contener:

• Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;
• Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;
• Una evaluación de los riesgos para los derechos y libertades de los interesados;
• Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales y demuestren la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Así mismo, se establece que en los supuestos en los que exista un Delegado de Protección de datos habrá que recabarse asesoramiento del mismo y, en su caso, cuando proceda de los propios interesados.

• CONCLUSIONES
• La evaluación de Impacto deberá realizarse cuando sea probable que un tipo de tratamiento por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.
• Deberá realizarse en todo caso en la elaboración de perfiles, tratamiento a gran escala de datos sensibles, observación a gran escala de zona de acceso público.
• Se define gran escala como cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo.

Buenos días reader,  adjuntamos la convocatoria de los Desayunos de Trabajo de DPO&itlaw que vamos a realizar los próximos lunes 26 de junio en Madrid y martes 27 de junio en Barcelona.

Abordaremos los cambios que introduce el  RGPD Europeo (Reglamento General de Protección de Datos) en la la gestión empresarial, identificando las acciones y cambios que se deben de realizar por la empresa antes del 25 de mayo para evitar incumplimientos que pueden ser sancionados con multas millonarias que oscilan entre los 10 y 20 millones de euros, o el 2% o 4% de la facturación anual.

¿ESTAMOS PREPARADOS PARA EL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS?

Si bien durante años la Auditoría Bienal, y por tanto el cumplimiento de las medidas técnicas y organizativas de seguridad, eran los servicios o las obligaciones que marcaban el cumplimiento de una organización en materia de protección de datos, con el RGPD se produce un giro de 180º en la forma de gestionar el cumplimiento normativo, pasando a tener una mayor relevancia la adecuación jurídica o cumplimiento normativo.

A través del principio de Accountability o de Responsabilidad proactiva, las empresas y los encargados de tratamiento deberán implantar medidas que garanticen y permitan demostrar el cumplimiento del RGPD a través de políticas de protección de datos adaptadas a la necesidades de la organización.

En el desayuno de trabajo pretendemos extraer del RGPD todas aquellas medidas que será necesario implantar dentro de una organización empresarial para el correcto cumplimiento de la normativa de protección de datos a través de las correspondientes.

Durante los desayunos se dará respuesta a las siguientes cuestiones:

• ¿Que es el Registro de actividades? ¿es obligatorio para mi empresa?. Identificación y clasificación de los Registro de actividades.
• ¿ Puedo utilizar el consentimiento informado que actualmente tengo implantado en la recogida de datos?. Implantación de sistemas de recogida de datos por capas identificando la información a incluir en la cláusulas de información cumpliendo con los principios de finalidad, transparencia, conservación, información y deber de comunicación al interesado.
• ¿Quienes son los  actores implicados?: Responsable, Corresponsable, Encargado de tratamiento, Representante del Responsable, Interesados….
• ¿Debo modificar los procedimientos de ejercicios de derechos ARCO?: además de los tradicionales derechos ARCO se incorporan nuevos derechos como el de portabilidad, supresión o derecho al olvido, limitación….
• ¿Quién es el Delegado de Protección de Datos o DPO? ¿es obligatorio para mi empresa?: la figura del DPO, funciones y obligaciones. Identificación de los supuestos en los que es obligatorio su nombramiento.
• ¿ Que ocurre con el Documento de Seguridad? ¿debo implantar medidas de Seguridad Técnicas y Organizativas?¿El Reglamento LOPD es aplicable?. Estudio del criterio de Aproximación al Riesgo en materia de Seguridad.
• El cumplimiento de las obligaciones de Privacidad por Defecto y Diseño,  Evaluaciones de Impacto y Régimen sancionador.

El Desayuno permitirá tener un primer acercamiento a las novedades introducidas por el RGPD en la normativa española de protección de datos, con el objeto de proceder a su cumplimiento antes  del 25 de mayo de 2018, momento en el cual toda organización empresarial deberá contar con una política de protección de datos que le permita prevenir, detectar, responder y verificar  los derechos y obligaciones establecidos por el RGPD.

Ponente

Fernando María Ramos Suárez, Socio Director de DPO&itlaw.

Inscripción

Las inscripciones se realizarán por riguroso orden de recepción a través de correo electrónico.

Confirmación: Myriam López de Arbina

email: myriamldam@dpoitlaw.com

Lugar

MADRID

Fecha: lunes 26 de junio 2017, de 9:00 a 11:30
Inscripciones y entrega de documentación a partir de las 8:45.
Coffe Break de 10:00 h a 10:15 h.
Lugar: Ibercenter Business Center, Edificio Azca. Está situado en Plaza de Carlos Trías Bertrán 4 (inmueble Holiday Inn).

Se encuentra encuadrado entre las calles Orense, General Perón y Paseo de la Castellana.

El acceso es posible mediante el metro (Santiago Bernabéu, línea 10)

BARCELONA

Fecha: lunes 27 de junio 2017, de 9:00 a 11:30
Inscripciones y entrega de documentación a partir de las 8:45.
Coffe Break de 10:00 h a 10:15 h.
Lugar: Rambla de Cataluña,115 bis (esquina Rosellô) 9na planta.

La entrada al edificio es por Rosellò, 216.

Es la torre del Banco Sabadell que hace esquina.

1.3.2 PRIVACIDAD POR DEFECTO Y PRIVACIDAD POR DISEÑO

La protección de datos desde el diseño y por defecto viene establecida en el art. 25 y en el considerando 78 del RGPD.

Artículo 25: Protección de datos desde el diseño y por defecto

1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas
3. Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 (Certificación) como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.

El objetivo de la protección de datos desde el diseño es incluir los principios de protección de datos dentro de las organizaciones de manera tal que los mismos estén presentes a lo largo de toda la vida del tratamiento, es decir, desde el momento en que se diseña, se pone en práctica y finalmente se suprime o finaliza el tratamiento. El RGPD establece que deberán aplicarse de forma eficaz medidas técnicas y organizativas adecuadas (como por ejemplo la seudonimización y minimización de datos) para aplicar los principios de protección de datos de forma eficaz y proteger los derechos y libertades de los interesados. De esta forma, la protección de datos desde el diseño supone la integración en las organizaciones o empresas de las garantías adecuadas para la protección de los datos desde el momento en que se determinan los medios del tratamiento, así como en el momento en que se realiza el propio tratamiento, debiendo tener en cuenta:

• El estado de la técnica.
• El coste de la aplicación.
• La naturaleza del tratamiento.
• El ámbito de aplicación.
• El contexto.
• Las finalidades del tratamiento.
• Los riesgos de diversa probabilidad y gravedad (no sólo riesgo alto) que entrañe para los derechos y libertades de los interesados.

En relación con la protección de datos por defecto, el RGPD señala que deberán aplicarse medidas técnicas y organizativas apropiadas con el objetivo de que sólo sean objeto de tratamiento los datos personales realmente necesarios para cada uno de los fines específicos del tratamiento (principio de minimización). Dicha obligación abarcaría:

• A la cantidad de datos recogidos
• A la extensión de su tratamiento.
• Al plazo de conservación.
• A la accesibilidad.

Como ejemplo de protección de datos por defecto el RGPD pone el ejemplo particular de evitar la accesibilidad a un número indeterminado de personas sin que exista intervención del propio interesado.

CONCLUSIONES

• La protección de datos desde el diseño pretende incluir los principios de protección de datos dentro de las organizaciones a lo largo de toda la vida del tratamiento, es decir, desde el momento en que se diseña y se pone en práctica hasta que finalmente se suprime o finaliza.
• La protección de datos por defecto establece que deben de aplicarse medidas técnicas y organizativas apropiadas con el objeto de que se realice los tratamientos de datos realmente necesarios para los fines del tratamiento.

1.3.3 MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZATIVAS

Las medidas de seguridad técnicas y organizativas vienen recogidas en el art. 32 y en el considerando 83 del RGPD.

Artículo 32: Seguridad del tratamiento

1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
   1. la seudonimización y el cifrado de datos personales;
   2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento
   3. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico
   4. un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos
3. La adhesión a un código de conducta aprobado a tenor del artículo 40 (Códigos de conducta) o a un mecanismo de certificación aprobado a tenor del artículo 42 (Certificación) podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.

Las medidas de seguridad técnicas y organizativas se deberán implantar en función del nivel adecuado al riesgo de los distintos tratamientos. En consecuencia, será fundamental identificar los niveles de riesgo existentes en cada tratamiento de datos para poder determinar las medidas de seguridad técnicas que deberán ser implantadas por el responsable o encargado de tratamiento. De igual forma a la privacidad por defecto y desde el diseño, se deberá tener en cuenta en la implantación de dichas medidas de seguridad:

• El estado de la técnica.
• El coste de aplicación.
• La naturaleza del tratamiento.
• El ámbito de aplicación o alcance.
• El contexto.
• Las finalidades del tratamiento.
• Los riesgos de diversa probabilidad y gravedad (no sólo riesgo alto) que entrañe para los derechos y libertades de los interesados.

A diferencia de nuestra actual normativa de protección de datos, el RGPD no establece un listado estructurado de medidas de seguridad que deberán ser implantadas en función del riesgo o nivel de seguridad o protección. Igualmente, tampoco prevé que exista un desarrollo o especificación de las mismas por parte de las Autoridades de Control, Estados Miembros o el propio Comité o Grupo de Trabajo 29. Será, por tanto, un estudio y análisis específico basado en el enfoque al riesgo que deberán realizar los responsables y encargados del tratamiento a fin de mantener la seguridad en el tratamiento de datos. Para dicha evaluación de riesgo, el considerando 83 señala que se deberán tener en cuenta los riesgos derivados del tratamiento que sean susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales como son:

• La destrucción.
• Pérdida o alteración accidental o ilícita de los datos personales en la transmisión, conservación o tratamiento.
• La comunicación o accesos no autorizados a los datos.

Si bien no establece un listado de medidas de seguridad que deben de ser aplicables a los tratamientos de datos, sí se establece que en todo caso entre otras medidas se deberá garantizar:

• La seudonimización y el cifrado de datos personales;
• La capacidad permanente de garantizar la confidencialidad, integridad, disponibilidad y resiliencia o adaptación al cambio de los sistemas de información y servicios de tratamiento;
• La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
• La verificación, evaluación y valoración regular de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Podemos observar que las medidas de seguridad y niveles de protección de datos introducidas por la normativa española de protección de datos a través del RLOPD, dejan de ser obligatorias a partir de mayo de 2018 y, en consecuencia, normas vinculantes para los responsables y encargados de tratamiento. De esta manera, a partir de mayo de 2018 los responsables y encargados de tratamiento deberán realizar su propio análisis de riesgo y evaluar qué medidas de seguridad técnicas y organizativas consideran que deben de ser aplicables para garantizar la seguridad y confidencialidad en el tratamiento de datos personales. Las conclusiones alcanzadas sobre qué medidas deben de ser aplicables podrán o no coincidir total o parcialmente con las medidas de seguridad que establecía el RLOPD. Por lo tanto, se pasa de un modelo rígido de obligaciones a un modelo variable o dinámico cuya aplicación o implantación dependerá del caso concreto y del análisis de riesgo que cada responsable o encargado realice en función de los tratamientos de datos que deba realizar. De igual forma, la supervisión de dichas medidas para verificar, evaluar y valorar su eficacia en cuanto a la seguridad de los tratamientos, no dependerá del cumplimiento de un listado exhaustivo de medidas de seguridad, si no que se centrará en cuál ha sido el análisis de riesgo que realizado por el responsable o encargado de tratamiento para garantizar la seguridad del tratamiento de datos.

Finalmente, en materia de seguridad técnica y organizativa, señala el RGPD que la adhesión a códigos de conducta o mecanismos de certificación por parte de los responsables o encargados de tratamiento servirá como elemento a tener en cuenta a la hora de demostrar el cumplimiento de las medidas de seguridad del RGPD. Un ejemplo de dichos Códigos de conducta se puede encontrar en el reciente código de conducta de los proveedores de Infraestructuras de Servicios en Cloud (Código de Conducta en Protección de Datos de CISPE.cloud)

CONCLUSIONES

• Las medidas de seguridad técnicas y organizativas pasan de un modelo rígido de cumplimiento establecido por el RLOPD a un modelo variable o dinámico de cumplimiento basado en el análisis del riesgo en materia de seguridad realizado por el responsable o encargado.
• En todo caso las medidas de seguridad deberán garantizar entre otras: la seudonimización, y el cifrado; la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de información; la restauración de los datos; y la supervisión de su implantación a través de auditorías o procesos de verificación y evaluación.
• Las medidas de Seguridad del RLOP a partir del 18 de mayo de 2018 dejaran de ser obligatorias.

1.3.4 VIOLACIONES DE SEGURIDAD

Las notificaciones sobre violaciones de seguridad o quiebras vienen recogidas en los arts. 33 y 34 y considerandos 85 a 88 del RGPD.

Artículo 33: Notificación de una violación de la seguridad de los datos personales a la autoridad de control

1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 (Competencias de la Autoridad de Control)sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.
3. La notificación contemplada en el apartado 1 deberá, como mínimo:
   1. describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
   2. comunicar el nombre y los datos de contacto del Delegado de Protección de Datos o de otro punto de contacto en el que pueda obtenerse más información;
   3. describir las posibles consecuencias de la violación de la seguridad de los datos personales;
   4. describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
4. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
5. El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.

Artículo 34: Comunicación de una violación de la seguridad de los datos personales al interesado

1. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
2. La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las recomendaciones establecidas en el artículo 33, (Notificación de violación de seguridad)apartado 3, letras b), c) y d).
3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:
   1. el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;
   2. el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1;
   3. suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.
4. Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.

La notificación de las violaciones o brechas de seguridad fue introducida por el art.4.2 de la Directiva sobre privacidad y comunicaciones electrónicas (2002/58/CE) y transpuesta al derecho español por la Ley General de Telecomunicaciones (Ley 9/2014 de 9 de Mayo) a través de su art. 41.2 y 3 y en los art. 2 y 3 del Reglamento UE (611/2013). Si bien dichas notificaciones o violaciones de seguridad sólo afectaban a los operadores de servicios de comunicaciones electrónicas, a partir del 18 de mayo de 2018 las notificaciones sobre violaciones o brechas de seguridad deberán ser notificadas por los responsables de tratamiento a las Autoridades de Control y, en su caso, a los interesados si las mismas suponen un alto riesgo para los derechos y libertades de las personas físicas.

A. Notificaciones a las Autoridades de Control

1. Alcance

El responsable de tratamiento deberá notificar a la Autoridad de Control tan pronto como tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales. Dicha notificación deberá realizarse sin dilación indebida y a más tardar en el plazo de 72 horas después de que haya tenido constancia de la misma, salvo que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases.

Así mismo, se establece que el encargado del tratamiento estará obligado a notificar sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

2. Contenido

La comunicación deberá contener como mínimo la siguiente información:

• Una descripción de la naturaleza de la violación de la seguridad de los datos personales: indicando si es posible las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
• El nombre y los datos de contacto del Delegado de Protección de Datos o de otro punto de contacto en el que pueda obtenerse más información;
• Una descripción de las posibles consecuencias de la violación de la seguridad de los datos personales;
• Una descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Así mismo, la violación de seguridad deberá quedar registrada y documentada por el responsable de tratamiento identificando los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas (Esta medida de obligado cumplimiento para los responsables es muy parecida a la medida de seguridad del Registro de Incidencias que marca el RLOD).

Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

B. Notificaciones a los interesados

1. Alcance

Además de la comunicación a la Autoridad de Control el responsable tratamiento deberá comunicar al interesado sin dilación indebida, la violación de la seguridad de los datos personales cuando la misma entrañe un alto riesgo para los derechos y libertades de las personas físicas.

No será necesaria la comunicación al interesado, si el responsable cumple con alguna de las siguientes condiciones:

• El responsable del tratamiento ha adoptado con anterioridad a la violación de seguridad (ex-ante), medidas de protección técnicas y organizativas apropiadas sobre los datos que sufrieron dicha brecha o violación de seguridad, de manera que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como por ejemplo el cifrado;
• El responsable del tratamiento tras la violación de seguridad (ex-post) ha tomado medidas para garantizar que ya no se materializará un alto riesgo para los derechos y libertades del interesado;
• Suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

2. Contenido

La comunicación al interesado describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la siguiente información:

• El nombre y los datos de contacto del Delegado de Protección de Datos o de otro punto de contacto en el que pueda obtenerse más información;
• Una descripción de las posibles consecuencias de la violación de la seguridad de los datos personales;
• Una descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Por último, se establece que en aquellos supuestos en los que el responsable no haya comunicado al interesado la violación de la seguridad de los datos personales, la Autoridad de Control, podrá exigirle que lo haga o que cumpla alguna de las condiciones anteriormente señaladas, si ésta última considera que existe probabilidad de que la violación de seguridad entrañe un alto riesgo para los derechos y libertades de las personas físicas.

CONCLUSIONES

• La comunicación a la Autoridad de Control de las violaciones de seguridad que afecten a datos personales se deberán realizar por el responsable del tratamiento sin dilación y en el plazo de 72.
• La comunicación a los interesados de las violaciones de seguridad que supongan un alto riesgo para los derechos y libertades de las personas físicas se deberán realizar por el responsable del tratamiento sin dilación indebida.

5.1 Cuestiones previas

La posibilidad que tiene el empleador o empresario de poder controlar la forma en que los trabajadores cumplen con sus funciones en la empresa se recoge en el art.20.3 del Estatuto de los Trabajadores que establece:

“El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.

Para llevar a cabo este control, la obtención de datos ha de ser legítima, y proporcional, es decir, los datos recabados deberán ser adecuados, pertinentes y no excesivos en relación con la necesidad que justificó su recogida.

Además, si bien no es necesario el consentimiento del trabajador para dicho control,  si deberán estar suficientemente informados sobre la existencia de dicho control, sobre su actividad, las razones que lo motivan, las horas en que se aplica, los métodos y técnicas utilizados y los datos acopiados. (Recomendación de la Oficina Internacional del Trabajo).

5.2 Sistemas de control personal: los controles “tecnológicos”

Como mecanismos de control tecnológico de la actividad de los trabajadores, nos podemos encontrar con distintos controles de la actividad del trabajador como por ejemplo el control del uso del correo electrónico, el control de las llamadas telefónicas efectuadas, el control del uso de Internet, o incluso la grabación de imágenes de su actividad laboral  o la videovigilancia en el lugar de trabajo.

Dichas medidas de control que puede utilizar el empresario par el control del trabajo del empleado,  en principio estarían legitimadas siempre y cuando el medio utilizado para el control sea proporcional para la finalidad con la que se utilice y la información se utilice exclusivamente en el marco de la relación laboral.

Una vez obtenido el juicio de proporcionalidad para el control del trabajador, entendemos que el empresario podrá implantar dichos controles tecnológicos siempre y cuando informe de la implantación de los mismos al trabajador. En este sentido sería necesario:

• Informar a los trabajadores y sus representantes, del tipo de tecnología y medios utilizados por el empresario en relación con la vigilancia, seguimiento y control de la actividad laboral.
• Los representantes de los trabajadores obtendrán cumplida información sobre la introducción de cualquier nuevo sistema de control que afecte al conjunto de los trabajadores.
• Solo cuando haya una firme sospecha de actividades delictivas o dolosas cometidas por un trabajador, podrá excepcionarse la obligación de informar. En dicho supuesto se justificaría la vigilancia encubierta. (Documento de trabajo del Grupo de Trabajo “Artículo 29” relativo a la vigilancia y el control de las comunicaciones electrónicas en el lugar de trabajo).

El Estatuto de los Trabajadores sólo establece la facultad de control del empresario pero no regula la forma concreta en la que esta debe de llevar a cabo. De ahí la importancia de la AUTOREGULACIÓN. La empresa deberá establecer un protocolo interno en el que se informe al trabajador de la existencia de mecanismos de control y del alcance de los mismos.

5.3 Grabación de imágenes y videovigilancia en el lugar de trabajo

El uso de videocámaras en el ámbito laboral ha generado una importante controversia, ya que hace entrar en contraposición dos importantes derechos:

• El derecho a la intimidad personal, refrendado por el artículo 18 de la Constitución y desarrollado por la LO 1/1982 de protección civil del derecho a la intimidad.
• El Estatuto de los Trabajadores que en su artículo 3 faculta al empresario a adoptar las medidas de vigilancia y control que estime más oportunas para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales.

El uso de la videovigilancia para la verificación del cumplimiento de las obligaciones laborales, se encuentra plenamente sometido a la normativa sobre Protección de Datos, y en particular a lo dispuesto en la Instrucción 1/2006 de la Agencia Española de Protección de Datos.

El tratamiento se limitará a las finalidades previstas por el Estatuto de los Trabajadores, y/o en todo caso a finalidades legítimas reconocidas por la normativa vigente, debiendo cumplir en este último caso adicionalmente las previsiones específicas que sean de aplicación. En este sentido podemos resumirlas en las siguientes medidas:

Se ha de respetar de modo riguroso el principio de proporcionalidad:

• Se adoptará esta medida cuando no exista otra más idónea.
• Las instalaciones, en caso de utilizarse, se limitarán a los usos estrictamente necesarios captando imágenes en los espacios indispensables para satisfacer las finalidades de control laboral.
• No podrán utilizarse estos medios para fines distintos de los propios del control laboral salvo que se trate de fines legítimos y se adopten las medidas pertinentes para el cumplimiento de la normativa que les sea de aplicación.

Deberán ser tenidos en cuenta los derechos específicos de los trabajadores respetando:

• Los derechos a la intimidad y el derecho fundamental a la protección de datos en relación con espacios vetados a la utilización de este tipo de medios como vestuarios, baños, taquillas o zonas de descanso.
• El derecho a la propia imagen de los trabajadores.
• La vida privada en el entorno laboral no registrando, en particular las conversaciones privadas.

Se deberá garantizar el derecho a la información en la recogida de las imágenes:

• Con información específica a la representación sindical.
• Mediante información personalizada.
• Mediante el cartel anunciador y el impreso establecidos.

Se procederá en su caso a la creación y/o inscripción del correspondiente fichero.

Se garantizará la cancelación de las imágenes en el plazo máximo de 30 días y únicamente podrán conservarse aquellas que registren una infracción o incumplimiento de los deberes laborales, a disposición de las Administraciones Públicas, Jueces y Tribunales.

Se garantizarán los derechos de acceso y cancelación. Para evitar perjudicar derechos de terceras personas, el ejercicio de acceso quedará garantizado mediante un escrito certificado donde conste la fecha de la grabación, las horas que estuvo grabado y la finalidad del registro de la imagen.

Se formalizarán en su caso contratos de acceso a los datos por cuenta de terceros en los supuestos en los que el servicio se subcontrate con la correspondiente empresa de seguridad privada que pueda visualizar las imágenes siendo esta encargada del tratamiento.

Por último se elaborará el correspondiente Documento de Seguridad que contemple todas las medidas que deberán de aplicarse sobre el fichero y en particular:

• El responsable del fichero, o en su caso el encargado del tratamiento deberán garantizar que no se produzca ningún acceso no autorizado a las imágenes.
• El documento de seguridad establecerá el procedimiento para el acceso y las medidas que al efecto deban adoptarse.
• Solo podrán tener acceso a las imágenes las personas que figuren en el Documento de Seguridad mediante un sistema de control basado en usuario/ contraseña.

1.3.1 REGISTRO DE ACTIVIDADES

El Registro de actividades viene regulado en el art. 30 y considerandos 82 y 89 del RGPD.

Artículo 30: Registro de las actividades de tratamiento

1. Cada responsable y, en su caso, su representante llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:
   1. el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del Delegado de Protección de Datos;
   2. los fines del tratamiento;
   3. una descripción de las categorías de interesados y de las categorías de datos personales;
   4. las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
   5. en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 (Excepciones para situaciones específicas), apartado 1, párrafo segundo, la documentación de garantías adecuadas;
   6. cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
   7. cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32 (Seguridad del tratamiento), apartado 1.
2. Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:
   1. el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del Delegado de Protección de Datos;
   2. las categorías de tratamientos efectuados por cuenta de cada responsable;
   3. en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo (Excepciones para situaciones específicas), la documentación de garantías adecuadas;
   4. cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, (Registro de las actividades de tratamiento) apartado 1.
3. Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico.
4. El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite.
5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, (Tratamiento de categorías especiales de datos personales) apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 (Tratamiento de datos personales relativos a condenas e infracciones penales).

Los responsables o los encargados del tratamiento deberán mantener registros de las actividades de tratamiento que se encuentren bajo su responsabilidad. Ambos se encuentran obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros de modo que puedan servir para supervisar las operaciones de tratamiento.

1. Alcance

El cumplimiento de esta medida es obligatorio para:

1. Organizaciones o empresas que empleen a más de 250 trabajadores.
2. Organizaciones o empresas que realicen tratamientos de datos con las siguientes características:
   • Tratamientos que puedan ocasionar un riesgo para los derechos y libertades de los interesados o incluya categorías especiales de datos o aquellos relativos a condenas e infracciones penales.
   • Tratamientos que no sean ocasionales.

2. Contenido

La información que debe contener dichos registros, difiere en función de si se trata de un responsable de tratamiento o un encargado.

En el caso de los responsables de tratamiento, los registros de actividades deberán incluir la siguiente información:

• El Nombre y los datos de contacto del responsable, y, en su caso, del corresponsable, del representante del responsable, y del Delegado de Protección de Datos;
• Los fines del tratamiento;
• Las categorías de interesados;
• Las categorías de datos personales;
• Las categorías de destinatarios;
• Las transferencias internacionales de datos y la documentación de las garantías adecuadas adoptadas;
• Los plazos previstos para la supresión de las diferentes categorías de datos;
• Descripción general de las medidas técnicas y organizativas de seguridad.

Por otro lado, en el caso de los encargados de tratamiento el Registro de Actividades deberá incluir la siguiente información:

• El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del Delegado de Protección de Datos;
• Las categorías de datos personales efectuadas por cuenta de cada responsable;
• Las transferencias internacionales de datos y la documentación de las garantías adecuadas adoptadas;
• Descripción general de las medidas técnicas y organizativas de seguridad.

Por último, se establece que dichos Registros de Actividades deberán constar por escrito y quedar a disposición de la Autoridad de Control que lo solicite.

Podemos concluir, que el Registro de Actividades es obligatorio para aquellas empresas con empleados superiores a 250 trabajadores o que teniendo menos trabajadores sus tratamientos supongan un mayor riesgo para los derechos y libertades de los interesados. No obstante, entendemos que, junto con el enfoque de aproximación al riesgo, esta medida es clave para identificar y organizar el cumplimiento de las medidas en función del tipo de tratamiento o actividades identificadas. Es altamente recomendable que dicho trabajo de identificación y registro de actividades o tratamientos de datos se realice previamente a la adopción de las medidas técnicas y organizativas en materia de protección de datos, sea o no obligatorio para la empresa, ya que de esta manera podremos determinar el ámbito de aplicación de las políticas o procesos de protección de datos. A su vez, es aconsejable completar el contenido de dichos registros de actividades con más información de la realmente exigida y permitir así cumplir con otras obligaciones, como por ejemplo la relativa al consentimiento informado del interesado. Es deseable, por tanto, incluir información adicional relacionada con el cumplimiento de los principios de protección de datos como, por ejemplo:

• Procedimiento para la obtención del consentimiento, y sistema empleado para la conservación y localización del mismo.
• Marco o base jurídica aplicable al consentimiento.
• Cláusulas de información utilizadas e identificación de los formularios, contratos o documentos que las incluyan, así como el procedimiento utilizado para su conservación y localización.
• Áreas o departamentos responsables del tratamiento, identificando la o las personas de contacto responsables.
• Áreas o departamentos que pueden realizar tratamiento o acceso a los datos personales.
• Información de la/s personas de contacto incluyendo el área o departamento para el ejercicio de los derechos de los interesados.
• Volumen de datos tratados y número de personas afectadas.

Aunque de forma completamente distinta, el Registro de Actividades vendría en cierta medida a cubrir la obligación establecida por la normativa anterior respecto de la notificación de ficheros a las Autoridades de Control de datos, la cual expresamente ha sido eliminada por el RGPD a través del considerando 89:

(89) Eliminación de la obligación de notificación de ficheros.

La Directiva 95/46/CE estableció la obligación general de notificar el tratamiento de datos personales a las autoridades de control. Pese a implicar cargas administrativas y financieras, dicha obligación, sin embargo, no contribuyó en todos los casos a mejorar la protección de los datos personales. Por tanto, estas obligaciones generales de notificación indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas. Estos tipos de operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnologías, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial.

CONCLUSIONES

• responsables y encargados de tratamiento con más de 250 trabajadores estarán obligados a llevar un Registro de Actividades de los tratamientos de datos realizados por su organización.
• Los responsables y encargados de tratamiento con menos de 250 trabajadores también estarán obligados si realizan tratamientos no ocasionales y los mismos suponen un riesgo para los derechos y libertadas de los interesados o incluyen categorías especiales de datos o datos sobre condenas e infracciones.
• El registro de actividades es un elemento clave para determinar el ámbito de aplicación de las políticas de protección de datos.

4.1 Deber de información

Con motivo de la formalización de la relación laboral, y de forma similar a como se ha realizado con los potenciales trabajadores o candidatos, es necesario con carácter previo al tratamiento de los datos de los trabajadores informar de las circunstancias del mismo, en el propio contrato laboral o en un formulario establecido al efecto de conformidad con lo establecido en el artículo 5 de la LOPD. De esta manera se deberá informar en el contrato o anexo al contrato:

• De la existencia de un fichero o tratamiento de datos de carácter personal.
• De la finalidad de la recogida.
• De los destinatarios de la información.
• De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
• De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
• De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

4.1.1 Acreditación del cumplimiento del deber de información

Desaparición de la Exigencia de formalidades para acreditar el cumplimiento del principio de información.

El artículo 18 del RLOPD establecía que el deber de información debería llevarse a cabo a través de un medio que permitiera acreditar su cumplimiento y que debería conservarse mientras persistiera el tratamiento de los datos del afectado. (En plasmación de lo expuesto en SAN 24-1-2003 y SAN 20-1-2006).

El Responsable del tratamiento debía conservar el soporte en que constase el cumplimiento del deber de información (ficha/factura/contrato/…) pudiendo utilizar medios informáticos o telemáticos (posibilidad de escanear soportes en papel siempre que se garantice que en su automatización no ha mediado alteración).

Una Sentencia del Tribunal Supremo suprime totalmente el artículo 18 al estimar que establece una obligación adicional al margen de la Ley de Protección de Datos, de este modo, aunque la carga de la prueba siga estando del lado del responsable del tratamiento de los datos, ésta deja de estar sometida a exigencias formales.

4.1.2 Información al inicio de la relación laboral

4.1.2.1 Comunicación al trabajador de normativa interna en materia de LOPD

Además de la información señalada, existen otros aspectos relativos a la seguridad de los datos de los que debe informarse a los trabajadores. Podemos decir por tanto, que para una correcta gestión en materia de protección de datos es imprescindible que los usuarios o trabajadores colaboren en la misma, por ello han de estar informados en todo momento de los protocolos y medios existentes establecidos en la empresa tendentes a garantizar la confidencialidad y seguridad del tratamiento así como la seguridad del dato personal. Por ello resulta recomendable informar de la siguiente documentación:

• Medidas de Seguridad y Manual de Usuario.
  Reparto a los trabajadores con acceso a datos de carácter personal responsabilidad de la empresa, de la normativa interna en materia de seguridad en el tratamiento de datos personales con indicación de las medidas de seguridad aplicables al tratamiento de los que sean participes, junto con las indicaciones para su correcta ejecución. En muchas ocasiones y dependiendo del tipo de tratamiento de datos a realizar es recomendable la impartición de sesiones de sensibilización sobre la protección de datos así como formación en materia de seguridad.
• Compromiso de confidencialidad.
  Además del traslado de la normativa interna en materia de seguridad en el tratamiento de datos, es necesario recabar el compromiso de confidencialidad del trabajador sobre los datos a los que en el desempeño de sus funciones tenga conocimiento. Por ello es recomendable al inicio de la relación laboral hacer firmar al trabajador compromisos de confidencialidad que pueden estar incluidos en el propio contrato de trabajo o a través de los correspondientes anexos.

4.1.2.1 Trabajadores externos

Si bien con los trabajadores de la empresa parece claro y evidente que los mismos deben de ser informados de los derechos que les asisten así como de la normativa de seguridad que deben de cumplir a la hora de tratar el dato personal, no ocurre lo mismo con los trabajadores subcontratados o que presten servicios en instalaciones de la empresa. En la actualidad el acceso de los trabajadores externos al tratamiento de datos responsabilidad de la empresa, no queda convenientemente regulado de forma similar a como si de un trabajador interno se tratara. En los supuestos de subcontratación de servicios o prestación de servicios que impliquen acceso a datos a través de los sistemas de información de la empresa bien físicamente en modo local o bien informáticamente en modo remoto, los trabajadores externos deberán adquirir los mismos compromisos que los trabajadores internos en la medida en que puedan acceder a datos de carácter personal en el desempeño de sus funciones. Se deberá por tanto establecer en el contrato de subcontratación o prestación de servicios con el proveedor externo cuales son las condiciones de acceso y las obligaciones del personal externo en materia de seguridad para el tratamiento de datos personales responsabilidad de la empresa contratante. Uno de los frecuentes errores que se encuentran en el cumplimiento de estas medidas es la obligación de otorgar accesos personalizados e individualizados para cada trabajador externo que acceda en modo remoto. En la actualidad es frecuente otorgar accesos genéricos a los sistemas de información por parte de las empresas receptoras de los servicios, produciéndose incumplimientos en materia de Seguridad ya que según el art. 85, relativo al acceso a datos a través de redes de comunicaciones, establece que:

“Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local”.

En este sentido el art. 93 del RLOPD es claro al establecer en su apartado segundo que:

“El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado”.

Es por tanto recomendable prestar especial atención a las medidas de seguridad que deben de ser trasladadas al personal externo que acceda los sistemas de información de la empresa debiéndose ser considerado a los efectos del cumplimiento de la normativa interna en materia de seguridad como un usuario más de los sistemas de información de la empresa. Así se ha visto reflejado en el RLOPD que traslada la obligación de identificar en el documento de seguridad todos aquellos supuestos de acceso a datos por cuenta del responsable que supongan un acceso físico en modo local o informático en modo remoto a los sistemas de información de la empresa, a los efectos de garantizar la seguridad de la información del datos personal ya no sólo respecto del acceso de los trabadores propios si no respecto del acceso de trabajadores externos.

4.2 Consentimiento para el tratamiento de datos de los trabajadores

Como hemos comentado anteriormente la ley exceptúa la necesidad del consentimiento para el tratamiento de datos “con ocasión de la celebración de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento”. (art.10.3.b, RD 1720/2007).

Por tanto no será necesario el consentimiento de los trabajadores para el tratamiento de sus datos, lo que no debe confundirse con el deber de informar, que es obligatorio siempre para todos los trabajadores de la empresa.

Por otro lado tampoco sería necesario el consentimiento cuando:

• Se autorice por una norma con rango legal (art.10.2.a RD1720/2007).
• Resulte necesario para la prevención o diagnósticos médicos, prestación de asistencia sanitaria o gestión de servicios sanitarios. ( art. 10.3 c) RD 1720/2007 y art. 7.6 LOPD).

Esta excepción no es una regla general para cualquier tratamiento en el ámbito de la relación laboral, si no que ésta debe interpretarse en sentido restringido, por lo que el tratamiento de los datos para una finalidad distinta de la expresamente excepcionada requerirá de la autorización del trabajador. En este sentido, debe recordarse que el tratamiento de datos por la empresa sin el consentimiento del trabajador, en los casos en que sea necesario, es considerado como una infracción grave y en caso de que además sean cedidos a terceros como una infracción muy grave.

4.2.1 Datos especialmente protegidos

Como hemos comentado anteriormente se consideran datos especialmente protegidos los relativos a la salud, al origen racial, a la vida sexual, ideología, creencias, religión y afiliación sindical según el art. 7 de la LOPD.

Por tanto con carácter general la recogida y tratamiento de estos datos exigirá:

• Contar con el consentimiento expreso (y por escrito para los datos de afiliación sindical, ideología, religión o creencias) del afectado.
• Adopción de medidas de seguridad de nivel alto.

En el ámbito laboral se producen una serie de excepciones respecto de los requisitos exigidos para el tratamiento de datos especialmente protegidos, así, no es preciso obtener el consentimiento expreso del afectado cuando:

• Se establezca por una norma con rango de Ley. Son los casos por ejemplo de la prestación de planes de pensiones o seguros que son impuestos legalmente y que por tanto no necesitan el consentimiento del trabajador ya que en caso contrario debe requerirse el consentimiento. En este sentido es recomendable contar con el consentimiento del trabajador para el tratamiento de datos que no vengan excepcionados legalmente y que no sean necesarios para el mantenimiento de la relación laboral.

Por otro lado conviene señalar respecto al tratamiento de datos especialmente protegidos que no es preciso adoptar las medidas de seguridad de nivel alto en determinados supuesto:

• Respecto de aquellos datos de salud referentes al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.
• Realización de transferencias a las entidades de las que los afectados sean asociados o miembros (Detracción de la Cuota Sindical).

Ambos supuestos han sido introducidos por el RLOPD y suponen un avance significativo en la gestión de protección de datos en el departamento de RRHH de la empresa. Con anterioridad a la entrada en vigor del RLOPD, el nivel de seguridad aplicable a los ficheros de personal generalmente era de nivel alto debido a la existencia de trabajadores discapacitados. Al ser un dato de salud y por tanto de especial protección, requería el cumplimiento de medidas de seguridad de nivel alto en la gestión de RRHH con los consiguientes esfuerzos económicos por llegar al cumplimiento de las medidas de seguridad de nivel alto, y en particular por el cumplimiento de la medida de seguridad de “Registro de Accesos” que suponía la obligación de establecer procedimientos técnicos e control de acceso a las aplicaciones de RRHH capaces de registrar la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. Con la publicación del RLOPD dicha obligación de aplicación de medidas de seguridad de nivel alto cambia en el supuesto de cumplimiento de deberes públicos (grado de discapacidad) y en los supuestos de realización de transferencias dinerarias que revelen datos de nivel alto (detracción de la cuota sidical)

4.2.2. Necesidad de consentimiento para el tratamiento de datos para finalidades especiales

Como hemos comentado anteriormente será necesario recabar el consentimiento del trabajador para aquellos tratamientos de datos que no vengan excepcionados legalmente y que no sean necesarios para el mantenimiento o gestión de la relación laboral. En este sentido podemos encontrarnos con distintos supuestos que requerirán el correspondiente consentimiento del trabajador para el tratamiento de sus datos de carácter personal.

4.2.2.1 Seguros médicos

Será necesario el consentimiento del empleado para el tratamiento de sus datos con el fin de contratar un seguro médico, y para la comunicación de los mismos a las compañías de seguros, siempre que se trate de seguros médicos voluntarios y no seguros obligatorios establecidos por ley, ya que si existe obligación legal o la contratación del seguro viene regulada por convenio colectivo, estaríamos ante la excepción del art. 10,2 a) del RDLOP. No obstante lo anterior, debe de tenerse siempre en consideración que habrá que informar al trabajador tanto del tratamiento como de la cesión de los datos que se va a producir.

4.2.2.2 Uso de fotos identificativas

En el supuesto de fotos identificativas, al considerarse la imagen como un dato de carácter personal, será necesario informar del tratamiento al trabajador y si la imagen se utiliza con finalidades que no sean estrictamente el mantenimiento o cumplimiento de la relación laboral, será necesario recabar también el consentimiento. Las tarjetas o carnets con foto identificativa de control de acceso a las instalaciones o locales del responsable de fichero se considerarán necesarias para el mantenimiento de la relación laboral, no siendo por tanto necesario recabar el consentimiento para el tratamiento, pero si informar de su fianlidad y tratamiento. En estos casos, el acto de posar no puede considerarse un consentimiento genérico para tratar la imagen. El consentimiento que se deduce del acto de posar solo será válido para la finalidad que justificó ese posado, es decir la tarjeta de acceso, no se podrá utilizar con fines diferentes (memorias, página web etc.).

4.2.2.3 Revistas internas, publicaciones y actividades lúdicas

En estos casos estamos fuera del estricto marco de la relación laboral por lo que será necesario el consentimiento del trabajador para publicar cualquiera de sus datos en publicaciones internas, en las que por ejemplo se informe de cumpleaños, bodas, nacimientos, etc. o participación en actividades lúdicas o sociales de cualquier tipo.

El principio de “Accountability” o “Responsabilidad Proactiva” viene regulado en al art. 5.2 y 24 así como en el considerando 74 del RGPD.

Artículo 5: Principios relativos al tratamiento

2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva“).

Artículo 24: Responsabilidad del responsable del tratamiento

1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.
3. La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento.

A través de este principio de protección de datos, el responsable y encargado de tratamiento estarán obligados a demostrar que sus actividades de tratamiento de datos cumplen con los principios relativos al tratamiento de datos (art. 5.1 del RGPD). Para ello deberán implantar unas medidas técnicas y organizativas apropiadas a fin de demostrar que los tratamientos que realizan son conformes con el RGPD. Estas medidas deberán ser actualizadas y revisadas periódicamente a través de procedimientos internos o externos de auditoría, o con la adhesión a códigos de conducta o procesos de certificación.

El principio de “Accountability” o de “Responsabilidad Proactiva” es un principio  ya introducido en 1980 por la OECD en el Códigos de Conducta o Guías de Protección de la Privacidad y flujo transfronterizo de datos personales y en el año 2010 por el Grupo de Trabajo del artículo 29 a través de la opinión 3/2010 sobre el principio de la Responsabilidad Proactiva o “Principio de Accountability”. En este informe el GT 29 presentó una propuesta concreta para introducir el principio de “Responsabilidad Proactiva” en la normativa de protección de datos, de tal forma que los responsables del tratamiento pongan en marcha procedimientos y medidas eficaces para garantizar el cumplimiento de los principios y obligaciones establecidos en la Directiva, y poder así demostrar ante las autoridades el cumplimiento de la misma.

Estas recomendaciones establecidas por el GT 29 fueron llevadas a la práctica por la Autoridad de Control Francesa el CNIL, la cual aprueba en enero de 2015, una norma de cumplimiento en materia de protección de datos. Dicha norma define las reglas y las mejores prácticas que debe implantar y desarrollar una organización para garantizar una gestión respetuosa con los principios de protección de datos de datos. La norma se divide en 25 apartados o requisitos relativos entre otras cuestiones, a la existencia de políticas de privacidad internas y externas, el nombramiento de un responsable de protección de datos, la gestión de las incidencias y siniestros etc. De esta manera la Autoridad de Control Francesa (CNIL) introduce en la normativa de protección de datos francesa el principio de “Responsabilidad Proactiva”, de tal forma que aquellas organizaciones que demuestren que cumplen con dicha norma de cumplimiento obtendrán un “sello de cumplimiento del principio de Responsabilidad proactiva” emitido por la Autoridad de Control Francesa (CNIL) garantizando el cumplimiento de la normativa francesa de protección de datos.

Nos encontramos, por tanto, con un principio que establece para los responsables y encargados una obligación “proactiva y sistemática” del cumplimiento de la normativa de protección de datos a través de la implantación de medidas técnicas y organizativas apropiadas, las cuales deberán incluir la protección de datos desde el diseño y por defecto en aquellas áreas de la organización donde sean necesarias. El objetivo final de la implantación de dichas políticas o medidas de protección de datos o programas de gestión interna de la privacidad no es otro que garantizar que las actividades de tratamiento realizadas por el responsable cumplen con lo establecido en RGPD.

Es conveniente aclarar que las medidas técnicas y organizativas que señala el principio de Responsabilidad Proactiva, no deben de asimilarse o confundirse con a las medidas técnicas y organizativas de seguridad que marca nuestro RLOPD, ya que las mismas, como veremos más adelante, constituirían un apartado de dichas medidas, políticas o procesos en materia de protección de datos que es necesario implantar por los responsables y encargados.

Existe un cambio importante en cuanto al enfoque con respecto a la Directiva 95/46/CE, ya que si bien con la Directiva se buscaba evitar la infracción de los derechos de los interesados como obligación principal con el RGPD se busca la anticipación a la infracción o lesión de derechos. Se busca el cumplimiento con antelación para evitar así la lesión o infracción del derecho o libertad del interesado. Por tanto, es un cambio de enfoque con consecuencias reales, ya que el hecho de la falta de adopción de alguna de las medidas u obligaciones establecidas por el RGPD puede originar la imposición de una sanción al responsable o encargado de tratamiento sin que previamente exista una lesión de los derechos y libertades del afectado o interesado.

Las medidas a las que hace referencia el RGPD se podrían resumir en las siguientes:

• Registro de Actividades.
• Medidas de Protección de Datos desde el Diseño.
• Medidas de Protección de Datos por Defecto.
• Medidas de Seguridad Adecuadas.
• Evaluaciones de Impacto.
• Autorización previa o Consultas previas con la Autoridad de Control.
• Delegado de Protección de Datos.
• Notificación de Violación de Seguridad.

Nos encontramos con un principio fundamental en la normativa de protección de datos (incluido dentro de los principios fundamentales de tratamiento del art. 5 del RGPD) que no es otro que la obligación de los responsables y encargados de implantar un sistema interno de cumplimiento en materia de protección de datos. Sistema que estará integrado por distintas políticas o procesos internos de privacidad que deberán ser actualizados y auditados periódicamente de manera que permitan demostrar el cumplimiento del RGPD.

En comparación con nuestra normativa de protección de datos, podemos por tanto comprobar que si bien durante años lo servicios de Auditoría Bienal, y por tanto el cumplimiento de las medidas técnicas y organizativas de seguridad, se constituían como los servicios o las obligaciones que marcaban el cumplimiento de una organización en materia de protección de datos, con el RGPD se produce un giro importante de 180º en la forma de gestionar dicho cumplimiento normativo, pasando a tener una mayor relevancia la adecuación jurídica o el cumplimiento normativo de protección de datos, siendo el cumplimiento técnico o en materia de seguridad uno de los elementos a tener en cuenta en el sistema empresarial de cumplimiento de protección de datos. Vemos por tanto que sistema de cumplimiento normativo de protección de datos va a tener muchas similitudes en cuanto a los procedimientos y procesos con sistemas de cumplimiento normativo ya existentes en nuestra normativa, como pueden ser los sistemas de cumplimiento normativo en materia de Prevención de Blanqueo de Capitales y Responsabilidad Penal Corporativa.

CONCLUSIONES

• El sistema interno de cumplimiento de la normativa de protección de datos, deberá incluir diversas políticas o procesos internos de protección de datos o privacidad que deberán ser actualizados y auditados periódicamente.
• El principio de Accountability o Responsabilidad Proactiva establece una obligación proactiva y sistemática del cumplimiento de la normativa de protección de datos, a través de la implantación de medidas técnicas y organizativas apropiadas.

1.1 Enfoque de aproximación al riesgo

El enfoque de aproximación al Riesgo se recoge en el art. 24 y en los considerandos 75 a 77 del RGPD.

Para el cumplimiento del principio de “Responsabilidad Proactiva” el responsable y encargado de tratamiento deberán previamente realizar un análisis y estudio del cumplimiento en materia de protección de datos basado en el riesgo. Es decir, deberán analizar qué medidas de protección de datos son necesarias implantar para garantizar el cumplimiento del RGPD, en función de naturaleza, alcance, contexto y finalidades del tratamiento de datos que realicen, así como de los riesgos o probabilidades de intromisión en los Derechos y libertades de los interesados.

De esta manera cuanto más probable y grave sea el riesgo del tratamiento, más medidas de protección de datos serán necesarias implantar para contrarrestarlos (nuevamente conviene aclarar que no se trata únicamente de medidas de seguridad técnica). Según el considerando 75:

“Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variable, pueden deberse a tratamientos de datos que pudiera provocar daños y perjuicios físicos, materiales o inmateriales.”

Con el objeto de poder tener una idea aproximada de lo que debe de ser considerado como riesgo, el considerando 75 del RGPD enumera aquellos tratamientos de datos que pueden ser considerados de riesgo para los derechos y libertades de los interesados:

• Tratamiento que puede dar lugar problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo;
• Tratamiento que pueda privar a los interesados de sus derechos y libertades o impedirles ejercer el control sobre sus datos personales;
• Tratamiento de datos personales sensibles que revelen origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas;
• Tratamiento en la elaboración de perfiles, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales;
• Tratamiento de datos personales de personas físicas vulnerables, en particular de niños;
• Tratamiento que implica una gran cantidad de datos personales y que afecta a un gran número de interesados.

Por otro lado, y según el considerando 76, dicho riesgo deberá ponderarse en algunos casos y evaluarse de forma objetiva en otros para determinar si existe un “riesgo” o un “riesgo alto“.

Por último, dado que el RGPD puede introducir situaciones de indeterminación en cuanto al riesgo a considerar en el tratamiento de datos, el considerando 77 establece que podrá proporcionarse más orientación sobre la identificación y evaluación de los riesgos del tratamiento de datos, y sobre la identificación de enfoques de mejores prácticas para mitigar esos riesgos, a través de  códigos de conducta, certificaciones y directrices aprobadas por Comité el Grupo de Trabajo del artículo 29, o  incluso por el propio Delegado de Protección de Datos de la Organización.

Por tanto, podemos comprobar que a diferencia de nuestra actual normativa el enfoque de aproximación al riesgo supone que las medidas y políticas de protección de datos a implantar no serán aplicables por igual por todos los responsables y encargados, si no que se adoptarán en función del riesgo que se produzca en el tratamiento de datos para los derechos y libertades de los afectados.  En este sentido, el enfoque de aproximación al riesgo en la implantación de medidas podrá jugar en un doble sentido:

• Adopción de medidas. Se aplicarán determinadas medidas en función de si se produce un alto riesgo para los derechos y libertades de los interesados.
• Ponderación dentro de la propia medida. En otros casos el riesgo funcionará como un factor de ponderación en la propia medida que deba ser implantada, estableciendo determinadas acciones específicas en función del riesgo existente.

El enfoque basado en el riesgo se configura como un factor clave dentro del proceso de adecuación o cumplimiento de la normativa de protección de datos, ya que todo responsable o encargado deberán previamente analizar el nivel de riesgo en el que se encuentra respecto de los tratamientos de datos que realice o asuma.

CONCLUSIONES

• Los responsables de tratamiento deben de aplicar las medidas de protección de datos en función del enfoque de aproximación al riesgo atendiendo a la naturaleza, alcance, contexto y finalidades del tratamiento de datos, así como de los riesgos o probabilidades de intromisión en los Derechos y libertades.
• Los tratamientos que pueden ser considerados de riesgo son: aquellos que produzcan perjuicios económicos o sociales, priven del control de los datos a los interesados, traten datos sensibles, elaboren perfiles de comportamiento, afecten a personas vulnerables (niños), e impliquen una gran cantidad de datos o afecten a un gran número de interesados.
• El enfoque de aproximación al riesgo supone que las medidas y políticas de protección de datos a implantar no serán aplicables por igual por todos los responsables y encargados.