Protección de datos

20
Mar

La tecnología en la crisis sanitaria del coronavirus: ¿Cómo se realiza el tratamiento de los datos personales?

Tras la declaración del Estado de Alarma el 14 de marzo, la lucha para frenar el coronavirus (COVID-19) se refuerza en España con la primera herramienta tecnológica en formato web: www.coronamadrid.com, que pronto contará con una versión APP en IOS y Android que se denominará COVIDAPP.

Se trata de una plataforma que lanzó la Comunidad de Madrid, el principal foco de infección en España, y que permite realizar una autoevaluación del estado de salud de los ciudadanos (mayores de 16 años) en función de sus síntomas, facilitando instrucciones y recomendaciones sobre el COVID-19. De esta manera se pretende ayudar a evitar el actual colapso del sistema sanitario y las líneas de atención telefónicas de la Comunidad de Madrid.

Uno de los aspectos que más preocupa o inquieta con este tipo de plataformas es el tratamiento de los datos de carácter personal que nos solicitan para poder acceder o, en este caso, realizar la autoevaluación.

Entre los datos que se recogen (nombre y apellidos, número de teléfono móvil -incluye un proceso de verificación de identidad con el teléfono móvil-, DNI / NIE, fecha de nacimiento, correo electrónico, dirección completa y código postal y género), parece que el más controvertido desde que se hizo pública la plataforma es la geolocalización. Si acudimos a la Política de Privacidad de la plataforma, nos indica que “en el momento de la realización de las autoevaluaciones, se guardará tu localización GPS, siempre bajo tu autorización, para saber dónde te encuentras y poder ofrecerte las mejores medidas preventivas y de evaluación en cada momento”.

Según continúa explicando la Política de Privacidad de la plataforma, estos datos son estrictamente necesarios por razones de interés público ante la actual pandemia del COVID-19.

Ante la creciente preocupación por el tratamiento de los datos personales durante la crisis del coronavirus, el pasado 12 de marzo, la AEPD se pronunció al respecto a través de un informe, estableciendo que la recogida de los datos personales cuya finalidad sea salvaguardar los intereses esenciales en el ámbito de la salud está legitimado tanto por motivos de interés público como por la protección de los intereses vitales del interesado u otras personas físicas, tal y como determina el artículo 6.1. e) y d) del RGPD.

En la misma línea, el 16 de marzo emitió el Comité Europeo de Protección de Datos una declaración sobre el tratamiento de datos personales, en la que recuerda que las normas de protección de datos no deben obstaculizar las medidas adoptadas por la pandemia del coronavirus, siempre que estas sean necesarias, apropiadas y proporcionadas.

Ante una situación de crisis como la que estamos atravesando, no solo en España sino en el resto de los países, ya sea en mayor o menor medida, se hacen necesarias actuaciones que pueden limitar la esfera de nuestra vida privada para asegurar y garantizar bienes jurídicos superiores, en este caso el derecho a la vida y a la salud colectiva, por lo que las normas de protección de datos no pueden ser una barrera para salvaguardar estos derechos, siempre que sean proporcionadas y adecuadas respecto a una situación tan excepcional como la actual.

Por último, debemos actuar con precaución ante la proliferación de numerosas páginas web y apps no oficiales que ofrecen servicios de autoevaluación respecto al coronavirus, suplantando en ocasiones al Ministerio de Sanidad, como ha podido constatar la AEPD, que ha advertido del riesgo de proporcionar datos personales a estas plataformas.

No debemos olvidar que, en ningún caso, estas plataformas pueden sustituir al servicio médico o de atención de urgencias o de prescripción de tratamiento farmacológicos, y que solamente pretenden ofrecer una orientación a los ciudadanos y evitar el colapso del sistema sanitario.


Alina Nastasache
Consultor en Derecho TIC y Protección de Datos

27
Feb

Análisis a la Ley de Ciberseguridad ¿Qué supone su aplicación?

La denominada Ley de Ciberseguridad tiene por objeto regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes.

¿A qué entidades se aplica la Ley de Ciberseguridad?

  1. Aquellas que presten servicios esenciales dependientes de las redes y sistemas de informacióncomprendidos en los sectores estratégicos definidos en la Ley 8/2011, de 28 de abril.
  2. Aquellas que presenten servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.
  3. Operadores de servicios esenciales establecidos en España, además de aquellos que ofrezcan servicios esenciales a través de un establecimiento permanente situado en España.
  4. Proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea,así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148.

¿A qué entidades NO se aplica la Ley de Ciberseguridad?

  1. Operadores de redes y servicios de comunicaciones electrónicas y prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril.
  2. Proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas.

¿Qué supone la aplicación de la Ley de Ciberseguridad?

1. Obligaciones de seguridad

  1. Adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios sujetos a la Ley de Ciberseguridad. Además, deberán tomar medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten.
  2. Los operadores de servicios esenciales designarán y comunicarán a la autoridad competente el responsable de la seguridad de la información.
  3. Los proveedores de servicios digitales determinarán las medidas de seguridad que aplicarán, teniendo en cuenta los avances técnicos y los siguientes aspectos: la seguridad de los sistemas e instalaciones, la gestión de incidentes, la gestión de la continuidad de las actividades, la supervisión, auditorías y pruebas, y el cumplimiento de las normas internacionales.

2. Obligación de notificar y resolver incidentes

Se impone la obligación de notificar a la autoridad competente, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en los servicios. En cuanto a los proveedores de servicios digitales, esta obligación se aplicará cuando se tenga acceso a la información necesaria para valorar el impacto de un incidente. También se prevé la posibilidad de realizar notificaciones voluntarias de aquellas entidades que presten servicios esenciales pero no les sea de aplicación la Ley de Ciberseguridad, que obligarán a la entidad que las efectúe a resolver el incidente.

La importancia de un incidente se determinará teniendo en cuenta, como mínimo, los siguientes factores:

  1. El número de usuarios afectados por la perturbación del servicio esencial.
  2. La duración del incidente.
  3. La extensión o áreas geográficas afectadas por el incidente.
  4. El grado de perturbación del funcionamiento del servicio.
  5. El alcance del impacto en actividades económicas y sociales cruciales.
  6. La importancia de los sistemas afectados o de la información afectada por el incidente para la prestación del servicio esencial.
  7. El daño a la reputación.

Es importante recordar que esta obligación no obsta al cumplimiento de los deberes legales de denuncia de aquellos hechos que revistan caracteres de delito. Por otra parte, las notificaciones no sujetarán a la entidad que las efectúe a una mayor responsabilidad, y sus empleados y el personal no podrán sufrir consecuencias adversas en su puesto de trabajo o con la empresa, salvo que se acredite mala fe en su actuación.

La autoridad competente podrá decidir informar de modo directo al público o a terceros potencialmente interesados sobre el incidente, o exigir a las entidades que lo hagan cuando su conocimiento sea necesario para evitar nuevos incidentes o gestionar uno que ya se haya producido, o cuando la divulgación de un incidente redunde en beneficio del interés público.

Existe obligación de resolver los incidentes de seguridad y de solicitar ayuda especializada cuando no puedan resolver por sí mismos los incidentes (art. 28.1).

Si la notificación de incidentes o su gestión, análisis o resolución requiere comunicar datos personales, su tratamiento se restringirá a los que sean estrictamente adecuados, pertinentes y limitados a lo necesario en relación con la finalidad, de las indicadas, que se persiga en cada caso.

3. Supervisión

Las autoridades competentes podrán requerir alosoperadores de servicios esenciales que faciliten la información necesaria para evaluar la seguridad de las redes y sistemas de información, incluida la documentación sobre políticas de seguridad. También se puede requerir auditar o exigir al operador que someta la seguridad de sus redes y sistemas de información a una auditoría por una entidad externa, solvente e independiente. Posteriormente, la autoridad competente podrá requerir al operador que subsane las deficiencias detectadas e indicarle cómo debe hacerlo (art. 32.2).

La autoridad competente solo inspeccionará el cumplimiento de estas obligaciones de los servicios digitales cuando tenga noticia de algún incumplimiento, incluyendo por petición razonada de otros órganos o denuncia (art. 33.1).

¿Qué sucede si se incumple lo previsto en la Ley de Ciberseguridad? Régimen sancionador

Los responsables serán los operadores de servicios esenciales y los proveedores de servicios digitales comprendidos en el ámbito de aplicación de la Ley de Ciberseguridad.

Son infracciones muy graves, cuya comisión implica una sanción de multa de 500.001 hasta 1.000.000 euros:

  1. La falta de adopción de medidas para subsanar las deficiencias detectadas (artículos 32.2 o 33.1) cuando éstas le hayan hecho vulnerable a un incidente con efectos perturbadores significativos en el servicio y no se hubieran atendido los requerimientos dictados por la autoridad competente con anterioridad a la producción del incidente.
  2. El incumplimiento reiterado de la obligación de notificar incidentes con efectos perturbadores significativos (a partir del segundo incumplimiento) en el servicio.
  3. No tomar las medidas necesarias para resolver los incidentes (artículo 28.1) cuando éstos tengan un efecto perturbador significativo.

Son infracciones graves cuya comisión implica una sanción de multa de 100.001 hasta 500.000 euros:

  1. El incumplimiento de las instrucciones referidas a las precauciones mínimas que los operadores de servicios esenciales han de adoptar para garantizar la seguridad de las redes y sistemas de información.
  2. La falta de adopción de medidas para subsanar las deficiencias detectadas en respuesta a un requerimiento dictado de acuerdo con los artículos 32.2 o 33.1, cuando ese sea el tercer requerimiento desatendido que se dicta en los cinco últimos años.
  3. El incumplimiento de la obligación de notificar incidentes con efectos perturbadores significativos en el servicio.
  4. La demostración de una notoria falta de interés en la resolución de incidentes con efectos perturbadores significativos notificados cuando dé lugar a una mayor degradación del servicio.
  5. Proporcionar información falsa o engañosa al público sobre los estándares que cumple o las certificaciones de seguridad que mantiene en vigor.
  6. Poner obstáculos a la realización de auditorías por la autoridad competente.

Son infracciones leves cuya comisión implica una sanción de multa de hasta 100.000 euros o amonestación:

  1. El incumplimiento de las disposiciones reglamentarias o de las instrucciones técnicas de seguridad dictadas por la autoridad competente al amparo de este real decreto-ley, cuando no suponga una infracción grave.
  2. La falta de adopción de medidas para corregir las deficiencias detectadas en respuesta a un requerimiento de subsanación dictado de acuerdo con los artículos 32.2 o 33.1.
  3. No facilitar la información que sea requerida sobre sus políticas de seguridad, o proporcionar información incompleta o tardía sin justificación.
  4. No someterse a una auditoría de seguridad según lo ordenado por la autoridad competente.
  5. No proporcionar al CSIRT de referencia o a la autoridad competente la información que soliciten en virtud del artículo 28.2.
  6. La falta de notificación de los sucesos o incidencias para los que exista obligación de notificación en virtud del del artículo 19.2.
  7. No completar la información que debe reunir la notificación de incidentes o no remitir el informe justificativo sobre la imposibilidad de reunir la información.
  8. No seguir las indicaciones que reciba del CSIRT de referencia para resolver un incidente.

Las sanciones firmes en vía administrativa por infracciones muy graves y graves podrán ser publicadas, a costa del sancionado, en el BOE y en el sitio de Internet de la autoridad competente.

Las sanciones se establecerán teniendo en cuenta los siguientes criterios:

  1. El grado de culpabilidad o la existencia de intencionalidad.
  2. La continuidad o persistencia en la conducta infractora.
  3. La naturaleza y cuantía de los perjuicios causados.
  4. La reincidencia, por comisión en el último año de más de una infracción de la misma naturaleza, cuando así haya sido declarado por resolución firme en vía administrativa.
  5. El número de usuarios afectados.
  6. El volumen de facturación del responsable.
  7. La utilización por el responsable de programas de recompensa por el descubrimiento de vulnerabilidades en sus redes y sistemas de información.
  8. Las acciones realizadas por el responsable para paliar los efectos o consecuencias de la infracción.

El órgano sancionador podrá establecer la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:

  1. Cuando se aprecie una cualificada disminución de la culpabilidad del imputado como consecuencia de la concurrencia significativa de varios de los criterios enunciados anteriormente.
  2. Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
  3. Cuando el infractor haya reconocido espontáneamente su culpabilidad.

Se podrá acordar, en lugar de iniciar el procedimiento sancionador, apercibir al sujeto responsable a fin de que, en el plazo que se determine, acredite la adopción de las medidas correctoras que resulten pertinentes, cuando concurran los siguientes presupuestos: que los hechos fuesen constitutivos de infracción leve o grave o que el órgano competente no hubiese sancionado o apercibido al infractor en los dos años previos como consecuencia de la comisión de las infracciones previstas.

Si el apercibimiento no fuera atendido en el plazo determinado, procederá la apertura del procedimiento sancionador. NO podrán ser objeto de apercibimiento las infracciones leves previstas en los apartados c, d y e, así como la infracción grave por proporcionar información falsa o engañosa al público sobre los estándares que cumple o las certificaciones de seguridad que mantiene en vigor.

Por otra parte, NO se impondrán sanciones cuando los hechos constitutivos de infracción lo sean también de otra tipificada en la normativa sectorial a la que esté sujeto el prestador del servicio y exista identidad del bien jurídico protegido, o cuando, como consecuencia de una actuación sancionadora, se tuviera conocimiento de hechos que pudieran ser constitutivos de infracciones tipificadas en otras leyes, se dará cuenta de los mismos a los órganos u organismos competentes para su supervisión y sanción.

Actualmente, estamos a la espera del desarrollo reglamentario de la Ley de Ciberseguridad que facilite su aplicación y detalle, entre otros, las medidas necesarias para el cumplimiento de las obligaciones que impone.

Dña. Alina Nastasache

31
Ene

Participamos en el Curso Superior de Protección de Datos de la ETJ Law & Business School

Durante el próximo 2 de abril, participaremos con la ponencia «Los sujetos intervinientes: deberes y responsabilidad. Régimen de Infracciones y Sanciones» en el Curso Superior de Protección de Datos de la Escuela de Técnica Jurídica Law & Business School, perteneciente a la Universidad Rey Juan Carlos.

Dentro de la ponencia que impartirá Fernando Ramos Suárez, Socio Fundador en DPO&itlaw, se abordarán temas como:

  • El responsable del tratamiento: posición, deberes, responsabilidad.
  • El encargado del tratamiento: contrato de encargado del tratamiento y posibilidad de subcontratación
  • Usuarios: deberes de los usuarios.
  • Régimen de infracciones y sanciones.

 

Más información:

www.etj.es

 

12
Ene

Los mediadores de seguros y la normativa de protección de datos

La entrada en vigor del Reglamento General de Protección de Datos, el pasado 25 de mayo de 2018, supuso un gran cambio en relación con la relación entre Responsables y Encargados de Tratamiento; desde entonces todos los sectores han tratado de amoldarse a esta nueva forma de configurar las relaciones mercantiles y comerciales en las que existe un acceso a los datos personales de un Responsable, con mayor o menor éxito y dificultad.

Los distintos mediadores de seguros se encuentran en un lugar bastante ambiguo en este sentido: en efecto, actúan como intermediarios entre los consumidores y las empresas aseguradoras, pero no necesariamente colaboran con estas últimas en exclusiva, pudiendo llegar a tomar decisiones propias sobre los datos personales que tienen en su poder dependiendo de la clase de mediador de que se trate.

Así pues, surge la duda: ¿qué régimen es el aplicable a los distintos mediadores de seguros? ¿Son Responsables o Encargados de Tratamiento?

Para resolver esta cuestión debemos establecer una distinción inicial: agentes de seguros (tanto exclusivos como vinculados a varias entidades), por un lado, y corredores, por otro, que cuentan con un grado de libertad mucho mayor.

 

AGENTES EXCLUSIVOS Y AGENTES VINCULADOS

La característica principal que tienen ambos es que la cartera de clientes no es suya, sino que es la empresa aseguradora quien se las cede para que puedan llevar a cabo sus funciones. Por tanto, en teoría esta relación entre ambas partes parece implicar dos regímenes posibles: o bien el mediador es Encargado de Tratamiento (cuando la toma de decisiones recae sobre la aseguradora) o bien se trata de una relación de corresponsabilidad.

Debido a que generalmente no son los agentes quienes toman decisiones sobre los tratamientos que se realizan sobre los datos personales (ya que éstos pertenecen a las empresas para las que trabajan, y que son quienes toman dichas decisiones) se ha venido entendiendo que los agentes, tanto exclusivos como vinculados, deben ser considerados Encargados de Tratamiento. Por tanto, su relación con aquéllas requeriría la firma de un contrato que la regule, y que cumpla con los mínimos que establecen los artículos 28 del RGPD y 28 y siguientes de la LOPDGDD.

El hecho de que los agentes vinculados puedan tener carteras de distintas empresas aseguradoras no implica, per se, que tengan la capacidad de tomar decisiones relevantes sobre los datos sin la autorización previa del Responsable de cada uno de ellos, debiendo acatar sus instrucciones.

Esta es la posición, de hecho, que sostiene el Proyecto de Ley de Distribución de Seguros y Reaseguros (artículo 77.1.a)). A este respecto se recuerda que, dado que todavía se encuentra en fase de tramitación parlamentaria, puede sufrir modificaciones en su redacción final.

 

CORREDORES DE SEGUROS

Los corredores de seguros tienen un régimen mucho más claro en este sentido. Ya con la “Guía para el Tratamiento de Datos Personales por parte de las Entidades Aseguradoras” que la UNESPA publicó en enero de 2019 se considera a los corredores como Responsables en todo caso. Efectivamente, dado que las carteras de clientes les pertenecen a ellos y, por tanto, son quienes determinan los usos y tratamientos de los datos personales que contienen, deberán ser considerados Responsables, con todas las obligaciones que esto conlleva -principalmente, la de responsabilidad activa o principio de accountability que implica la obligación de implantar las medidas técnicas, jurídicas y organizativas que garanticen el cumplimiento de la normativa de protección de datos (RGPD y LOPDGDD).

Naturalmente, cuando esos datos sean transmitidos a las empresas aseguradoras para finalizar con el proceso de contratación o gestión de las pólizas, se estará llevando a cabo una cesión de datos, lo que llevará ligado el pertinente deber de información al interesado.

De nuevo, el Proyecto de Ley antes mencionado, en su artículo 77.1.b), también prevé que los corredores de seguros reciban esta consideración.

Podemos concluir por tanto que los Agentes de Seguros serán, en todo caso, Encargados del Tratamiento en beneficio de la empresa o empresas aseguradoras a las que pertenezcan los datos de los clientes, por lo que deberán firmarse los pertinentes contratos de Encargado que exige el RGPD. Por su parte, los Corredores de Seguros sí que se configuran como Responsables de los datos que son facilitados por sus Clientes, y no como Encargados de Tratamiento. En este caso será necesario que las empresas que contraten los servicios de un corredor informen al colectivo implicado (normalmente trabajadores) de la existencia de dichas cesiones de datos para que éstos puedan ejercitar en su caso los derechos de acceso, supresión, oposición, rectificación y portabilidad según lo dispuesto en el RGPD y la LOPDGDD.

 

Jorge Somolinos
Consultor TIC DPO&itlaw
jorgesomolinos@dpotilaw.com

 

12
Ene

Empresas de transporte y mensajería, ¿encargados o responsables del tratamiento?

Aunque la distinción entre Responsable y Encargado del tratamiento en materia de protección de datos parezca clara, en la práctica no ocurre así en todos los casos. Uno de dichos ámbitos en donde más debate ha suscitado dicha distinción, ha sido en el sector del transporte y mensajería. En la prestación de estos servicios, el papel de la empresa de transporte respecto de los datos del destinatario del servicio no queda bien definido, pudiendo actuar como Responsable del dato personal del destinatario o como Encargado del tratamiento de sus clientes que utilizan dicho servicio.

Sobre este aspecto se ha pronunciado la Agencia Española de Protección de Datos (AEPD) en varios Informes. En concreto, podemos destacar un Informe del Gabinete Jurídico en el que la consultante, una empresa de transporte de documentos, requiere para prestar sus servicios los datos del cliente, los datos de origen y de destino que deben ser comunicados por los clientes. La consultante entiende que actúa en su propio nombre en la prestación del servicio de transporte, sin embargo, algunos clientes solicitan formalizar un contrato de Encargado del tratamiento para la actividad del transporte.

Según la AEPD, lo esencial es que el Encargado actúa en nombre y por cuenta del Responsable en el tratamiento de los datos, de modo que la ley estipula la ficción jurídica de que, dado que el encargado no decide los fines y medios del tratamiento, la cesión de datos que en realidad se realiza mediante el encargo, no es tal jurídicamente.

En el sector del transporte y mensajería es importante distinguir, por un lado, los datos personales que vayan dentro del sobre transportado, a los cuales el transportista no tiene acceso, y por otra parte los datos personales de remitente y destinatario, que son los imprescindibles para la ejecución del servicio contratado.

Entiende la AEPD que en estos casos no se produce una actuación como Encargado del tratamiento, sino que se incorporan los datos personales recabados para sus propios fines, y es la empresa quien decide la forma de llevar a cabo el servicio de transporte encomendado. En definitiva, no existiría un encargo del tratamiento sino una cesión de datos, ya que los datos transmitidos son incorporados en la base de datos de la entidad receptora (empresa de mensajería) para que esta proceda a su tratamiento para los fines que le son propios hasta su entrega al destinatario.

Por tanto la cesión a una empresa de mensajería de los datos personales mínimos imprescindibles para la remisión del envío postal sería posible aun no mediando consentimiento de los afectados, siempre que la entidad-cesionario los utilice única y exclusivamente para el pleno cumplimiento de sus obligaciones de transporte, remisión y entrega del envío y no para otros fines. En este sentido, la AEPD también considera acertado la posición del intermediario que asumía el ICO Inglés, que concluye que el prestador del servicio postal no sería ni Responsable ni Encargado del tratamiento para los clientes que usen sus servicios, ya que es un mero intermediario, y no decide sobre los fines o medios del tratamiento de los datos personales incluidos dentro del sobre que se le ha confiado.

A pesar de aceptar la posición de intermediario, la AEPD concluye que las empresas de transporte y mensajería no son Encargados del tratamiento, por lo que no requerirán de un contrato de encargo respecto de los datos personales contenidos en el sobre. Sin embargo, sí que serán Responsables del tratamiento de los datos personales que se le ceden (datos del remitente y del destinatario) para hacer llegar el sobre a destino.

Además, la ley parece establecer unas obligaciones específicas en materia de protección de datos al operador postal que no casan bien con la figura del Encargado del tratamiento. En este sentido, la Ley 43/2010, de 30 de diciembre, del servicio postal universal, de los derechos de los usuarios y del mercado postal, establece unas obligaciones respecto del envío, que incluye tanto la confidencialidad de su contenido, en un sentido amplio, como la protección de los datos personales que se han confiado al operador postal para la realización de su labor. Si fuera un verdadero Encargado del tratamiento dichas obligaciones de protección de datos habría que imponérselas al remitente, que sería quien le ha realizado el encargo de transportar el documento al destinatario.

En conclusión, tanto de los principios generales que se derivan de la normativa de protección de datos como de los preceptos propios de la normativa postal, concluye la AEPD que las empresas de transporte y mensajería no serían un Encargado del tratamiento respecto del remitente, sino que son Responsables del tratamiento de los datos personales de remitente y destinatario que se le han confiado para el ejercicio de su tarea. En consecuencia, será recomendable por parte de las empresas usuarios de los servicios de mensajería informar en las correspondientes cláusulas de información con los clientes, proveedores y trabajadores, de la posible existencia de dichas cesiones de sus datos a empresas de mensajería o trasporte, de forma que éstos puedan ejercitar en su caso los derechos de acceso, supresión, oposición, rectificación y cancelación según lo dispuesto en el RGPD y la LOPDGDD ante las correspondientes empresas de mensajería o transporte.

 

Alina Nastasache
Abogada TIC DPO&itlaw
alinastasache@dpotilaw.com

26
Nov

Publicación del Proyecto de Ley para la Reforma de la Ley Orgánica de protección de datos (actualizado)

Tras la publicación el pasado 10 de Noviembre el Consejo de Ministros aprobó el Proyecto de Ley Orgánica de Protección de Datos, desde DPO&itlaw, hemos pasado a documento Word el Proyecto de Reforma LOPD y comparado con el anterior documento publicado en la Consulta Pública.
Publicamos en DPO&itlaw en Documento word el Proyecto de Reforma LOPD en dos versiones:

 

 

Versión Completa en Word con hipervínculos en el índice y con control de cambios respecto a la última versión del Ministerio de Justicia.

 

Versión Completa en Word con hipervínculos en el índice.

 

Esperamos sea de utilidad

20
Nov

Publicación del Proyecto de Ley para la Reforma de la Ley Orgánica de protección de datos

El pasado viernes 10 de noviembre el Consejo de Ministros aprobó el Proyecto de Ley Orgánica de Protección de Datos  que adaptará la normativa de protección de datos española al Reglamento General de Protección de datos RGPD 2016/679 el cual introducen determinados derechos y obligaciones para la regulación del derecho fundamental a la protección de datos. Estas novedades del RGPD las podéis ver en nuestro área RGPD que estamos habilitando en  DPO&itlaw para una mejor comprensión del mismo.
 
Podéis acceder al Proyecto de Ley Publicado por el Ministerio de justicia a través del siguiente enlace.
Está prevista su aprobación para antes de mayo del 2018, y que por tanto coincida con la aplicación directa del RGPD, la cual está prevista para el 25 de mayo de 2018.
Estaremos expectantes al desarrollo y debate del Proyecto de Ley en el Parlamento, y os iremos informando de todas las novedades.
1
Oct

¿Se puede acceder al correo electrónico de un trabajador despedido?

Cuando un trabajador es despedido en la empresa nos surgen una serie de cuestiones y preguntas respecto al acceso a la información que gestionaba dicho trabajador en nombre de la empresa….

¿puedo acceder a los correos electrónicos que envió y recibió desde su ordenador?
¿puedo acceder a los archivos que almacenó en la gestión de su trabajo?
¿puede acceder la persona que le sustituye a las carpetas e información que gestionaba?
¿qué debo de hacer con su cuenta de correo electrónico creada?
¿si accedo a sus mensajes de correo electrónico estoy cometiendo un delito?

Vamos a intentar responder a estas cuestiones que nos surgen en el día a día de la empresa y esclarecer en la medida de lo posible dichos accesos a la información del trabajador.

El acceso a la información del trabajador y en concreto el acceso al correo electrónico del trabajador es un asunto bastante controvertido, ya que parece que los propios tribunales se contradicen entre sí (Sala de los Social y Sala de lo Penal del Tribunal Supremo).

La Sala de lo Social del Tribunal Supremo en su sentencia de 26 de septiembre y 6 de octubre de 2011 establece que cuando la comunicación es el objeto mismo de la prestación laboral y se ha prohibido su uso para fines personales, el empresario está facultado para acceder a la información de sus trabajadores sin su consentimiento y sin necesidad de demandar la correspondiente autorización judicial, pues la actuación del trabajador se encuentra en el ámbito empresarial y no personal, y por tanto no cuenta con ninguna expectativa de confidencialidad. Así se confirma por la Sentencia del Tribunal Constitucional 170/2013 que establece que el secreto de las comunicaciones no queda vulnerado si existe una prohibición expresa previa del uso privado o personal de la cuenta de correo electrónico corporativo facilitada al empleado. Dicha necesidad de información previa se deduce también de reciente sentencia de la Gran Sala del Tribunal Europeo de Derechos Humanos de Estrasburgo que el pasado 5 de septiembre de 2017, en la que se concede el amparo a un trabajador por el acceso sin previo aviso de la empresa al correo electrónico del trabajador.

Por otro lado la Sala de lo Penal del tribunal Supremo 2844/2014 establece que en el caso de los correos electrónicos del trabajador sin abrir, rige el secreto de las comunicaciones del art. 18.3 de la Constitución  Española, no así respecto de aquellos correos ya leídos o abiertos, los cuales efectivamente rige lo establecido por la Sala de los Social, es decir, podrán monitorizarse y controlar su contenido siempre y cuando se haya prohibido el uso de los mismos para cuestiones personales y se haya informado de la posibilidad de monitorización y control a través de normativa interna en la empresa.

Por tanto, respondiendo a las preguntas antes comentadas la empresa podrá acceder a aquella información del trabajador que se encuentre en el ámbito empresarial y no personal, siempre y cuando:

• Se establezca internamente y se regule el uso de los medios tecnológicos.
• Se informe previamente que existe un control empresarial de dichos medios
• Se prohíba expresamente el uso para fines personales.
• La medida de control es proporcional (idónea, necesaria y proporcional, es decir no existe otra medida menos invasiva para dicho control).

Estas medidas garantizarán al empresario la posibilidad de control, y por tanto que no exista en la empresa una expectativa de confidencialidad sobre dicha información por parte de los trabajadores.

Sin embargo, todavía nos surgen determinadas preguntas:

¿pero qué ocurre con el correo electrónico del trabajador despedido?
¿debo de eliminar la cuenta?
¿puedo revisar los correos que le envían tras el despido?

La normativa de protección de datos establece que el dato de carácter personal (la cuenta de correo electrónico es un dato de carácter personal) debe ser cancelado cuando deje de ser útil para la finalidad en la que se recabó. La cancelación conforme al art. 5 b) del Reglamento desarrollo de la LOPD implica

el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.

Esto significa, que si el dato personal deja de ser útil para la finalidad en la que fue recabado (despido o baja voluntaria), deberá ser bloqueado por la empresa. En estos casos, conforme a la normativa de protección de datos el correo electrónico debería ser cancelado, o bloqueado, es decir sólo se puede tratar el mismo para ponerlo a disposición de jueces, tribunales  y autoridades competentes por la posible responsabilidad de la empresa surgida con el ex trabajador.

En estos supuestos lo que normalmente suele hacer la empresa, es incluir un mensaje de respuesta automático programado por un tiempo prudencial para dicha cuenta de correo electrónico. De esta manera, cuando se produce el envío de correos electrónicos a la dirección de correo electrónico del ex trabajador se indica con un correo automático de respuesta que la dirección de correo electrónico ha causado baja en la empresa y que la nueva dirección de correo electrónico con la que se deben de poner en contacto es aquella identificada como la persona o departamento que le sustituye.

Sin embargo, pueden existir determinados supuestos excepcionales (puestos de relevancia estratégica para la empresa o despidos conflictivos), en los que la empresa necesita saber por cuestiones de negocio o empresariales si ha existido dicha comunicación de clientes o terceros con el ex trabajador, y por tanto lo que se suele realizar en estos casos es, además de incluir el mensaje de respuesta automática, redirigir el correo electrónico que recibía el ex trabajador a otra cuenta de correo (generalmente el responsable de departamento o superior jerárquico). En estos casos excepcionales, entendemos que los correos electrónicos recibidos en ningún caso podrán ser abiertos, ya que conforme a la Sala Penal del Tribunal Supremo se estaría infringiendo el derecho fundamental al secreto de las comunicaciones. Además, conforme a la normativa de protección de datos, los mismos deberían ser bloqueados y puestos a disposición de las autoridades en atención a las distintas responsabilidades que pudieran surgir del tratamiento. Por tanto, dichos correos recibidos y no abiertos, deberán en todo caso ser bloqueados y únicamente permitir el acceso a los mismos a los jueces, tribunales y autoridades administrativas, ya que el acceso a los mismos podría ser constitutivo de un delito del art. 197 del Código Penal con condenas de prisión de 1 a 4 años y multa de 12 a 24 meses.

 

Fernando Mª Ramos Suárez

Socio Director DPO&itlaw

fernandoramos@dpoitlaw.com

 

1
Jul

Actualización del Anteproyecto de Ley Orgánica de Protección de Datos

El Ministerio de Justicia abre el periodo de información pública al Anteproyecto de la Ley Orgánica de Protección de Datos de Carácter Personal.

 

La descarga de la nueva versión del texto del Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal se encuentra aquí ()

 

Os hemos incluido la nueva versión v2 en Word con control de cambios para que podamos ir apreciando los cambios que va introduciendo el Legislador en su trámite parlamentario. Para el acceso al la versión 2 descargar aquí ( descargar documento ).

 

La información sobre los trámites de audiencia e información pública se encuentran aquí.

Esperemos os sea de utilidad.

 

Anteproyecto de Ley Orgánica de Protección de Datos LOPD Junio 2017 (versión 2)

Descargar documento

 

 

 

27
Jun

Principales Novedades del Anteproyecto de Ley Orgánica de Protección de Datos

El pasado 24 de junio a propuesta del ministro de Justicia, Rafael Catalá, el Consejo de Ministros ha impulsado el anteproyecto de Ley Orgánica de Protección de Datos con el fin de mejorar la regulación de la protección de datos de carácter personal y adaptar la legislación española a las disposiciones contenidas en el RGPD (Reglamento UE 2016/679) antes de su definitiva entrada en vigor fijada para el próximo 25 de mayo de 2018.

En DPO&itlaw hemos podido acceder al texto que con tanto secretismo se ha estado confeccionando. Actualmente está accesible en el siguiente enlace del Diario la Ley  ( descargar documento), no obstante os hemos habilitado en nuestro Blog un espacio para que os lo podáis descargar en formato Word y podáis trabajarlo y editarlo correctamente en vuestro trabajo diario. Anteproyecto LOPD

Conforme el considerando IV el Anteproyecto se estructura de la siguiente manera:

 

ESTRUCTURA DE LA LOPD

Consta de 78 artículos estructurados en 8 títulos, 10 disposiciones adicionales, 5 disposiciones transitorias, 1 disposición derogatoria única y 7 disposiciones finales.

De entre los 8 títulos destacan los siguientes:

 

El Título I. Disposiciones generales.

Comienza regulando el objeto de la ley orgánica, que no es otro que la adaptación del ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, Reglamento general de protección de datos, y completar sus disposiciones. A su vez, establece que el derecho fundamental de las personas físicas a la protección de datos de carácter personal, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.

Destaca la novedosa regulación de los datos referidos a las personas fallecidas, pues, tras excluir del ámbito de aplicación de la ley su tratamiento, se permite que los herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido, que por lo demás se podrán incorporar a un registro. También excluye del ámbito de aplicación los tratamientos que se rijan por disposiciones específicas, en referencia, entre otras, a la normativa que transponga la citada Directiva (UE) 2016/680, previéndose en la disposición transitoria quinta la vigencia de estos tratamientos con arreglo a la Ley Orgánica 15/1999 hasta que se apruebe la citada normativa.

 

El Título II. Principios de protección de datos.

Se presumen exactos y actualizados los datos obtenidos directamente del propio afectado y se recoge expresamente el deber de confidencialidad, se regulan garantías específicas y se aplica el principio de minimización de datos para entender desproporcionado el tratamiento de los datos por quien carezca de competencia. Dentro de lo que se viene denominando la “legitimación para el tratamiento”, se alude específicamente al consentimiento, que ha de proceder de una declaración o de una clara acción afirmativa del afectado, excluyendo lo que se conocía como “consentimiento tácito”, se permite la casilla no premarcada en el ámbito de la negociación o formalización de un contrato, y se fija la edad a partir de la cual el menor puede prestar su consentimiento en trece años para asimilar el sistema español al de otros Estados de nuestro entorno.

Se regulan asimismo las posibles habilitaciones legales para el tratamiento que se derive del ejercicio de potestades públicas o del cumplimiento de una obligación legal y se prevé que el interés legítimo de un determinado responsable o de un determinado tercero pueda prevalecer sobre el derecho a la protección de datos del afectado. Y se mantiene la prohibición de llevar a cabo tratamientos con la única finalidad de almacenar información referida a las categorías de datos especialmente protegidos.

En el Capítulo II del Título I se recogen “Disposiciones aplicables a tratamientos concretos”, que son los supuestos antes sometidos a regímenes especiales, en los que se considera de aplicación la regla del equilibrio de intereses o ponderación del interés legítimo como base jurídica para el tratamiento. En segundo lugar, figuran las categorías que ya eran objeto de una regulación específica, legal o reglamentaria, como los sistemas de información crediticia, complementado por una disposición adicional, los tratamientos realizados con fines de videovigilancia y los sistemas de exclusión publicitaria comúnmente denominados “listas Robinson”, los tratamientos llevados a cabo en el ámbito de la función estadística pública o, como novedad, los sistemas de información de denuncias internas en el sector privado.

 

El Título III Los derechos de las personas.

Adapta al Derecho español el principio de transparencia en el tratamiento del reglamento europeo, que regula el derecho de los afectados a ser informados acerca del tratamiento, se recoge la denominada “información por capas” ya generalmente aceptada en ámbitos como el de la videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales como las “cookies”).

Se hace uso en este título de la habilitación permitida por el considerando 8 del Reglamento (UE) 2016/679 para complementar su régimen, garantizando la adecuada estructura sistemática del texto. A continuación, la ley orgánica contempla los derechos de Acceso, Rectificación, Supresión, Oposición, derecho a la Limitación del tratamiento y derecho a la Portabilidad. La obligación de bloqueo garantiza la adecuada aplicación y supervisión del cumplimiento de las normas de protección de datos.

 

El Título IV. El Responsable y el Encargado del tratamiento.

Es preciso tener en cuenta que la mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan. Con el fin de aclarar estas novedades, la ley orgánica mantiene la misma denominación del Capítulo IV del Reglamento, dividiendo el articulado en cuatro capítulos dedicados, respectivamente, a: las medidas generales de responsabilidad activa, al régimen del encargado del tratamiento, a la figura del delegado de protección de datos y a los mecanismos de autorregulación y certificación.

La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la ley orgánica, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica. La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente. La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona. Los conocimientos en la materia se podrán acreditar mediante esquemas de certificación. El responsable o el encargado deberán dotar al delegado de medios materiales y personales suficientes y no podrán removerle, salvo en los supuestos de dolo o negligencia grave. Es de destacar que el delegado de protección de datos permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento. 

Así mismo dentro de los 78 artículos podemos encontrar las siguientes novedades.

  1. No será necesario solicitar el consentimiento para los ficheros de contactoprofesionales en base al interés legítimo, no obstante sí es será necesario informar.

Artículo 12. Tratamiento de datos de contacto y de empresarios individuales.

  1. Se entenderá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:
    1. Que el tratamiento se refiera únicamente a los mínimos datos imprescindibles para su localización profesional.
    2. Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
  2. El mismo amparo legal tendrá el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
  1. Otra novedad que introduce el Anteproyecto es que las las Camaras de videovigilancia puedan captar la vía pública siempre y cuando su finalidad sea preservar las seguridad de las personas y bines de la empresa.

Artículo 15. Tratamientos con fines de videovigilancia.

  1. Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones.
  2. Sólo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior. 
    No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte. 
    Respecto a la Portabilidad de los datos solo es necesario respecto de los datos facilitados y generados, NO a los datos inferidos utilizando estos últimos.
  1. En relación con el derechos de portabilidad se aclara que los datos que deben de ser objeto de portabilidad serán aquellos que haya facilitado el usuario y hayan sido generados durante la prestación del servicios, pero no se facilitarán los datos que el responsable haya inferido de éstos últimos, los cuales en todo caso podrán someterse al derecho de acceso, rectificación o surpresión.

Artículo 27. Derecho a la portabilidad.

  1. El derecho a la portabilidad regulado en el artículo 20 del Reglamento (UE) 2016/679 podrá ejercerse por el afectado respecto de los datos que hubiera facilitado al responsable del tratamiento y de los que se deriven directamente del uso por aquél de los servicios prestados por el responsable.
  2. El derecho a la portabilidad no se extenderá a los datos que el responsable hubiere inferido a partir de aquellos a los que se refiere el apartado anterior. En todo caso, el afectado podrá ejercer respecto de estos datos los restantes derechos enumerados en este capítulo, particularmente el derecho de acceso contemplado en el artículo 15 del Reglamento (UE) 2016/679.
  1. A pesar de que el RGPD no habla del bloqueo de datos, salvo en algunos casos o supuestos en los que hace referencia a mantener los para la defensa del Responsableo, el Anteproyecto expresamente y con muy buen criterio permite el bloqueo de datos 

Artículo 29. Bloqueo de los datos.

  1. El responsable del tratamiento estará obligado a bloquear los datos en los casos previstos en los artículos 16 y 17.1 a), d) y e) del Reglamento (UE) 2016/679, así como cuando deba proceder de oficio a su rectificación o supresión.
  2. Los datos bloqueados quedarán a disposición exclusiva del tribunal, el Ministerio Fiscal u otras Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de las mismas.
  3. Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada en el apartado anterior.
  4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus mpetencias, podrán fijar excepciones a la obligación de bloqueo establecida en este artículo.
  1. Se identifica en el art. 35 con nombres y apellidos a aquellas organizaciones que necesariamente deberán nombrar a un DPO, facilitando enormemente la labor de interpretación del RGPD, que a pesar de haber sido aclarada por el GT 29 seguía presentando muchas dudas.

Artículo 35. Designación de un delegado de protección de datos.

  1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679. A tal efecto, se consideran incluidas en dichos supuestos, en todo caso, las siguientes entidades:
    1. Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
    2. Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
    3. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones.
    4. Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos.
    5. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
    6. Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
    7. Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
    8. Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
    9. Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
    10. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
    11. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
    12. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
    13. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
    14. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
    15. Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.
  1. Por último conviene destacar también los supuestos en los que sería necesaria la emisión de un informe de Evaluación de Impacto:

Artículo 30. Obligaciones generales del responsable y encargado del tratamiento.

  1. Los responsables y encargados, tras ponderar los riesgos que el tratamiento pueda generar en los derechos de los afectados y en particular en su derecho a la protección de datos, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el Reglamento (UE) 2016/679, con la presente ley orgánica, la legislación sectorial y sus normas de desarrollo. En particular valorarán si proceder la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3a del Capítulo IV del citado reglamento.
  2. Para la adopción de las medidas a que se refiere el apartado anterior los responsables y encargados del tratamiento tendrán en cuenta, en particular, los mayores riesgos que podrían producirse en los siguientes supuestos:
    1. Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
    2. Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.
    3. Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento(UE) 2016/679 y 10 y 11 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas.
    4. Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.
    5. Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad para las que se hubiesen establecido medidas de apoyo.
    6. Cuando se produzca un tratamiento masivo que afecte a un gran número de afectados o implique la recogida de una gran cantidad de datos personales.


Anteproyecto de Ley Orgánica de Protección de Datos LOPD Junio 2017

Descargar documento

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies