Protección de datos

26
Nov

Publicación del Proyecto de Ley para la Reforma de la Ley Orgánica de protección de datos (actualizado)

Tras la publicación el pasado 10 de Noviembre el Consejo de Ministros aprobó el Proyecto de Ley Orgánica de Protección de Datos, desde DPO&itlaw, hemos pasado a documento Word el Proyecto de Reforma LOPD y comparado con el anterior documento publicado en la Consulta Pública.
Publicamos en DPO&itlaw en Documento word el Proyecto de Reforma LOPD en dos versiones:

 

 

Versión Completa en Word con hipervínculos en el índice y con control de cambios respecto a la última versión del Ministerio de Justicia.

 

Versión Completa en Word con hipervínculos en el índice.

 

Esperamos sea de utilidad

20
Nov

Publicación del Proyecto de Ley para la Reforma de la Ley Orgánica de protección de datos

El pasado viernes 10 de noviembre el Consejo de Ministros aprobó el Proyecto de Ley Orgánica de Protección de Datos  que adaptará la normativa de protección de datos española al Reglamento General de Protección de datos RGPD 2016/679 el cual introducen determinados derechos y obligaciones para la regulación del derecho fundamental a la protección de datos. Estas novedades del RGPD las podéis ver en nuestro área RGPD que estamos habilitando en  DPO&itlaw para una mejor comprensión del mismo.
 
Podéis acceder al Proyecto de Ley Publicado por el Ministerio de justicia a través del siguiente enlace.
Está prevista su aprobación para antes de mayo del 2018, y que por tanto coincida con la aplicación directa del RGPD, la cual está prevista para el 25 de mayo de 2018.
Estaremos expectantes al desarrollo y debate del Proyecto de Ley en el Parlamento, y os iremos informando de todas las novedades.
1
Oct

¿Se puede acceder al correo electrónico de un trabajador despedido?

Cuando un trabajador es despedido en la empresa nos surgen una serie de cuestiones y preguntas respecto al acceso a la información que gestionaba dicho trabajador en nombre de la empresa….

¿puedo acceder a los correos electrónicos que envió y recibió desde su ordenador?
¿puedo acceder a los archivos que almacenó en la gestión de su trabajo?
¿puede acceder la persona que le sustituye a las carpetas e información que gestionaba?
¿qué debo de hacer con su cuenta de correo electrónico creada?
¿si accedo a sus mensajes de correo electrónico estoy cometiendo un delito?

Vamos a intentar responder a estas cuestiones que nos surgen en el día a día de la empresa y esclarecer en la medida de lo posible dichos accesos a la información del trabajador.

El acceso a la información del trabajador y en concreto el acceso al correo electrónico del trabajador es un asunto bastante controvertido, ya que parece que los propios tribunales se contradicen entre sí (Sala de los Social y Sala de lo Penal del Tribunal Supremo).

La Sala de lo Social del Tribunal Supremo en su sentencia de 26 de septiembre y 6 de octubre de 2011 establece que cuando la comunicación es el objeto mismo de la prestación laboral y se ha prohibido su uso para fines personales, el empresario está facultado para acceder a la información de sus trabajadores sin su consentimiento y sin necesidad de demandar la correspondiente autorización judicial, pues la actuación del trabajador se encuentra en el ámbito empresarial y no personal, y por tanto no cuenta con ninguna expectativa de confidencialidad. Así se confirma por la Sentencia del Tribunal Constitucional 170/2013 que establece que el secreto de las comunicaciones no queda vulnerado si existe una prohibición expresa previa del uso privado o personal de la cuenta de correo electrónico corporativo facilitada al empleado. Dicha necesidad de información previa se deduce también de reciente sentencia de la Gran Sala del Tribunal Europeo de Derechos Humanos de Estrasburgo que el pasado 5 de septiembre de 2017, en la que se concede el amparo a un trabajador por el acceso sin previo aviso de la empresa al correo electrónico del trabajador.

Por otro lado la Sala de lo Penal del tribunal Supremo 2844/2014 establece que en el caso de los correos electrónicos del trabajador sin abrir, rige el secreto de las comunicaciones del art. 18.3 de la Constitución  Española, no así respecto de aquellos correos ya leídos o abiertos, los cuales efectivamente rige lo establecido por la Sala de los Social, es decir, podrán monitorizarse y controlar su contenido siempre y cuando se haya prohibido el uso de los mismos para cuestiones personales y se haya informado de la posibilidad de monitorización y control a través de normativa interna en la empresa.

Por tanto, respondiendo a las preguntas antes comentadas la empresa podrá acceder a aquella información del trabajador que se encuentre en el ámbito empresarial y no personal, siempre y cuando:

• Se establezca internamente y se regule el uso de los medios tecnológicos.
• Se informe previamente que existe un control empresarial de dichos medios
• Se prohíba expresamente el uso para fines personales.
• La medida de control es proporcional (idónea, necesaria y proporcional, es decir no existe otra medida menos invasiva para dicho control).

Estas medidas garantizarán al empresario la posibilidad de control, y por tanto que no exista en la empresa una expectativa de confidencialidad sobre dicha información por parte de los trabajadores.

Sin embargo, todavía nos surgen determinadas preguntas:

¿pero qué ocurre con el correo electrónico del trabajador despedido?
¿debo de eliminar la cuenta?
¿puedo revisar los correos que le envían tras el despido?

La normativa de protección de datos establece que el dato de carácter personal (la cuenta de correo electrónico es un dato de carácter personal) debe ser cancelado cuando deje de ser útil para la finalidad en la que se recabó. La cancelación conforme al art. 5 b) del Reglamento desarrollo de la LOPD implica

el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.

Esto significa, que si el dato personal deja de ser útil para la finalidad en la que fue recabado (despido o baja voluntaria), deberá ser bloqueado por la empresa. En estos casos, conforme a la normativa de protección de datos el correo electrónico debería ser cancelado, o bloqueado, es decir sólo se puede tratar el mismo para ponerlo a disposición de jueces, tribunales  y autoridades competentes por la posible responsabilidad de la empresa surgida con el ex trabajador.

En estos supuestos lo que normalmente suele hacer la empresa, es incluir un mensaje de respuesta automático programado por un tiempo prudencial para dicha cuenta de correo electrónico. De esta manera, cuando se produce el envío de correos electrónicos a la dirección de correo electrónico del ex trabajador se indica con un correo automático de respuesta que la dirección de correo electrónico ha causado baja en la empresa y que la nueva dirección de correo electrónico con la que se deben de poner en contacto es aquella identificada como la persona o departamento que le sustituye.

Sin embargo, pueden existir determinados supuestos excepcionales (puestos de relevancia estratégica para la empresa o despidos conflictivos), en los que la empresa necesita saber por cuestiones de negocio o empresariales si ha existido dicha comunicación de clientes o terceros con el ex trabajador, y por tanto lo que se suele realizar en estos casos es, además de incluir el mensaje de respuesta automática, redirigir el correo electrónico que recibía el ex trabajador a otra cuenta de correo (generalmente el responsable de departamento o superior jerárquico). En estos casos excepcionales, entendemos que los correos electrónicos recibidos en ningún caso podrán ser abiertos, ya que conforme a la Sala Penal del Tribunal Supremo se estaría infringiendo el derecho fundamental al secreto de las comunicaciones. Además, conforme a la normativa de protección de datos, los mismos deberían ser bloqueados y puestos a disposición de las autoridades en atención a las distintas responsabilidades que pudieran surgir del tratamiento. Por tanto, dichos correos recibidos y no abiertos, deberán en todo caso ser bloqueados y únicamente permitir el acceso a los mismos a los jueces, tribunales y autoridades administrativas, ya que el acceso a los mismos podría ser constitutivo de un delito del art. 197 del Código Penal con condenas de prisión de 1 a 4 años y multa de 12 a 24 meses.

 

Fernando Mª Ramos Suárez

Socio Director DPO&itlaw

fernandoramos@dpoitlaw.com

 

1
Jul

Actualización del Anteproyecto de Ley Orgánica de Protección de Datos

El Ministerio de Justicia abre el periodo de información pública al Anteproyecto de la Ley Orgánica de Protección de Datos de Carácter Personal.

 

La descarga de la nueva versión del texto del Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal se encuentra aquí ()

 

Os hemos incluido la nueva versión v2 en Word con control de cambios para que podamos ir apreciando los cambios que va introduciendo el Legislador en su trámite parlamentario. Para el acceso al la versión 2 descargar aquí ( descargar documento ).

 

La información sobre los trámites de audiencia e información pública se encuentran aquí.

Esperemos os sea de utilidad.

 

Anteproyecto de Ley Orgánica de Protección de Datos LOPD Junio 2017 (versión 2)

Descargar documento

 

 

 

27
Jun

Principales Novedades del Anteproyecto de Ley Orgánica de Protección de Datos

El pasado 24 de junio a propuesta del ministro de Justicia, Rafael Catalá, el Consejo de Ministros ha impulsado el anteproyecto de Ley Orgánica de Protección de Datos con el fin de mejorar la regulación de la protección de datos de carácter personal y adaptar la legislación española a las disposiciones contenidas en el RGPD (Reglamento UE 2016/679) antes de su definitiva entrada en vigor fijada para el próximo 25 de mayo de 2018.

En DPO&itlaw hemos podido acceder al texto que con tanto secretismo se ha estado confeccionando. Actualmente está accesible en el siguiente enlace del Diario la Ley  ( descargar documento), no obstante os hemos habilitado en nuestro Blog un espacio para que os lo podáis descargar en formato Word y podáis trabajarlo y editarlo correctamente en vuestro trabajo diario. Anteproyecto LOPD

Conforme el considerando IV el Anteproyecto se estructura de la siguiente manera:

 

ESTRUCTURA DE LA LOPD

Consta de 78 artículos estructurados en 8 títulos, 10 disposiciones adicionales, 5 disposiciones transitorias, 1 disposición derogatoria única y 7 disposiciones finales.

De entre los 8 títulos destacan los siguientes:

 

El Título I. Disposiciones generales.

Comienza regulando el objeto de la ley orgánica, que no es otro que la adaptación del ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, Reglamento general de protección de datos, y completar sus disposiciones. A su vez, establece que el derecho fundamental de las personas físicas a la protección de datos de carácter personal, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.

Destaca la novedosa regulación de los datos referidos a las personas fallecidas, pues, tras excluir del ámbito de aplicación de la ley su tratamiento, se permite que los herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido, que por lo demás se podrán incorporar a un registro. También excluye del ámbito de aplicación los tratamientos que se rijan por disposiciones específicas, en referencia, entre otras, a la normativa que transponga la citada Directiva (UE) 2016/680, previéndose en la disposición transitoria quinta la vigencia de estos tratamientos con arreglo a la Ley Orgánica 15/1999 hasta que se apruebe la citada normativa.

 

El Título II. Principios de protección de datos.

Se presumen exactos y actualizados los datos obtenidos directamente del propio afectado y se recoge expresamente el deber de confidencialidad, se regulan garantías específicas y se aplica el principio de minimización de datos para entender desproporcionado el tratamiento de los datos por quien carezca de competencia. Dentro de lo que se viene denominando la “legitimación para el tratamiento”, se alude específicamente al consentimiento, que ha de proceder de una declaración o de una clara acción afirmativa del afectado, excluyendo lo que se conocía como “consentimiento tácito”, se permite la casilla no premarcada en el ámbito de la negociación o formalización de un contrato, y se fija la edad a partir de la cual el menor puede prestar su consentimiento en trece años para asimilar el sistema español al de otros Estados de nuestro entorno.

Se regulan asimismo las posibles habilitaciones legales para el tratamiento que se derive del ejercicio de potestades públicas o del cumplimiento de una obligación legal y se prevé que el interés legítimo de un determinado responsable o de un determinado tercero pueda prevalecer sobre el derecho a la protección de datos del afectado. Y se mantiene la prohibición de llevar a cabo tratamientos con la única finalidad de almacenar información referida a las categorías de datos especialmente protegidos.

En el Capítulo II del Título I se recogen “Disposiciones aplicables a tratamientos concretos”, que son los supuestos antes sometidos a regímenes especiales, en los que se considera de aplicación la regla del equilibrio de intereses o ponderación del interés legítimo como base jurídica para el tratamiento. En segundo lugar, figuran las categorías que ya eran objeto de una regulación específica, legal o reglamentaria, como los sistemas de información crediticia, complementado por una disposición adicional, los tratamientos realizados con fines de videovigilancia y los sistemas de exclusión publicitaria comúnmente denominados “listas Robinson”, los tratamientos llevados a cabo en el ámbito de la función estadística pública o, como novedad, los sistemas de información de denuncias internas en el sector privado.

 

El Título III Los derechos de las personas.

Adapta al Derecho español el principio de transparencia en el tratamiento del reglamento europeo, que regula el derecho de los afectados a ser informados acerca del tratamiento, se recoge la denominada “información por capas” ya generalmente aceptada en ámbitos como el de la videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales como las “cookies”).

Se hace uso en este título de la habilitación permitida por el considerando 8 del Reglamento (UE) 2016/679 para complementar su régimen, garantizando la adecuada estructura sistemática del texto. A continuación, la ley orgánica contempla los derechos de Acceso, Rectificación, Supresión, Oposición, derecho a la Limitación del tratamiento y derecho a la Portabilidad. La obligación de bloqueo garantiza la adecuada aplicación y supervisión del cumplimiento de las normas de protección de datos.

 

El Título IV. El Responsable y el Encargado del tratamiento.

Es preciso tener en cuenta que la mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan. Con el fin de aclarar estas novedades, la ley orgánica mantiene la misma denominación del Capítulo IV del Reglamento, dividiendo el articulado en cuatro capítulos dedicados, respectivamente, a: las medidas generales de responsabilidad activa, al régimen del encargado del tratamiento, a la figura del delegado de protección de datos y a los mecanismos de autorregulación y certificación.

La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la ley orgánica, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica. La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente. La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona. Los conocimientos en la materia se podrán acreditar mediante esquemas de certificación. El responsable o el encargado deberán dotar al delegado de medios materiales y personales suficientes y no podrán removerle, salvo en los supuestos de dolo o negligencia grave. Es de destacar que el delegado de protección de datos permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento. 

Así mismo dentro de los 78 artículos podemos encontrar las siguientes novedades.

  1. No será necesario solicitar el consentimiento para los ficheros de contactoprofesionales en base al interés legítimo, no obstante sí es será necesario informar.

Artículo 12. Tratamiento de datos de contacto y de empresarios individuales.

  1. Se entenderá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:
    1. Que el tratamiento se refiera únicamente a los mínimos datos imprescindibles para su localización profesional.
    2. Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
  2. El mismo amparo legal tendrá el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
  1. Otra novedad que introduce el Anteproyecto es que las las Camaras de videovigilancia puedan captar la vía pública siempre y cuando su finalidad sea preservar las seguridad de las personas y bines de la empresa.

Artículo 15. Tratamientos con fines de videovigilancia.

  1. Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones.
  2. Sólo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior. 
    No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte. 
    Respecto a la Portabilidad de los datos solo es necesario respecto de los datos facilitados y generados, NO a los datos inferidos utilizando estos últimos.
  1. En relación con el derechos de portabilidad se aclara que los datos que deben de ser objeto de portabilidad serán aquellos que haya facilitado el usuario y hayan sido generados durante la prestación del servicios, pero no se facilitarán los datos que el responsable haya inferido de éstos últimos, los cuales en todo caso podrán someterse al derecho de acceso, rectificación o surpresión.

Artículo 27. Derecho a la portabilidad.

  1. El derecho a la portabilidad regulado en el artículo 20 del Reglamento (UE) 2016/679 podrá ejercerse por el afectado respecto de los datos que hubiera facilitado al responsable del tratamiento y de los que se deriven directamente del uso por aquél de los servicios prestados por el responsable.
  2. El derecho a la portabilidad no se extenderá a los datos que el responsable hubiere inferido a partir de aquellos a los que se refiere el apartado anterior. En todo caso, el afectado podrá ejercer respecto de estos datos los restantes derechos enumerados en este capítulo, particularmente el derecho de acceso contemplado en el artículo 15 del Reglamento (UE) 2016/679.
  1. A pesar de que el RGPD no habla del bloqueo de datos, salvo en algunos casos o supuestos en los que hace referencia a mantener los para la defensa del Responsableo, el Anteproyecto expresamente y con muy buen criterio permite el bloqueo de datos 

Artículo 29. Bloqueo de los datos.

  1. El responsable del tratamiento estará obligado a bloquear los datos en los casos previstos en los artículos 16 y 17.1 a), d) y e) del Reglamento (UE) 2016/679, así como cuando deba proceder de oficio a su rectificación o supresión.
  2. Los datos bloqueados quedarán a disposición exclusiva del tribunal, el Ministerio Fiscal u otras Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de las mismas.
  3. Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada en el apartado anterior.
  4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus mpetencias, podrán fijar excepciones a la obligación de bloqueo establecida en este artículo.
  1. Se identifica en el art. 35 con nombres y apellidos a aquellas organizaciones que necesariamente deberán nombrar a un DPO, facilitando enormemente la labor de interpretación del RGPD, que a pesar de haber sido aclarada por el GT 29 seguía presentando muchas dudas.

Artículo 35. Designación de un delegado de protección de datos.

  1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679. A tal efecto, se consideran incluidas en dichos supuestos, en todo caso, las siguientes entidades:
    1. Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
    2. Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
    3. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones.
    4. Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos.
    5. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
    6. Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
    7. Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
    8. Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
    9. Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
    10. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
    11. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
    12. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
    13. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
    14. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
    15. Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.
  1. Por último conviene destacar también los supuestos en los que sería necesaria la emisión de un informe de Evaluación de Impacto:

Artículo 30. Obligaciones generales del responsable y encargado del tratamiento.

  1. Los responsables y encargados, tras ponderar los riesgos que el tratamiento pueda generar en los derechos de los afectados y en particular en su derecho a la protección de datos, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el Reglamento (UE) 2016/679, con la presente ley orgánica, la legislación sectorial y sus normas de desarrollo. En particular valorarán si proceder la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3a del Capítulo IV del citado reglamento.
  2. Para la adopción de las medidas a que se refiere el apartado anterior los responsables y encargados del tratamiento tendrán en cuenta, en particular, los mayores riesgos que podrían producirse en los siguientes supuestos:
    1. Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
    2. Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.
    3. Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento(UE) 2016/679 y 10 y 11 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas.
    4. Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.
    5. Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad para las que se hubiesen establecido medidas de apoyo.
    6. Cuando se produzca un tratamiento masivo que afecte a un gran número de afectados o implique la recogida de una gran cantidad de datos personales.


Anteproyecto de Ley Orgánica de Protección de Datos LOPD Junio 2017

Descargar documento

 

29
Abr

Reglamento General de Protección de Datos (RGPD) : Derecho de portabilidad, oposición y a limitar las decisiones individuales automatizadas

2.6 DERECHO DE PORTABILIDAD

El derecho a la portabilidad viene regulado en los art. 20 y considerando 68 del RGPD.

Artículo 20: Derecho a la portabilidad de los datos

  1. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:
    1. el tratamiento esté basado en el consentimiento con arreglo al artículo 6 (Licitud del tratamiento), apartado 1, letra a), o el artículo 9 (Tratamiento de categorías especiales de datos personales), apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y
    2. el tratamiento se efectúe por medios automatizados.
  2. Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
  3. El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 17 (Derecho al olvido). Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
  4. El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros.
  1. Alcance

Se establece como un derecho del interesado a recibir todos aquellos datos personales que le incumban y que haya facilitado a un responsable, siempre y cuando el tratamiento esté basado en el consentimiento o sea necesario para la ejecución de un contrato y el mismo se efectúe por medios automatizados.

Como excepción se establece aquellos supuestos en los que el tratamiento se funde en el cumplimiento de una misión de interés público o inherente al ejercicio del poder público.

  1. Modo

Se establece que los interesados deben de recibir los datos en un formato estructurado de uso común y de lectura mecánica e interoperable o, siempre que la tecnología lo permita, el interesado tendrá el derecho a que los datos personales se transmitan directamente de un responsable de tratamiento a otro.

El derecho a la portabilidad ha suscitado muchas cuestiones respecto qué datos deben ser facilitados al interesado o en su caso el responsable. Se establecen tres categorías de datos, los facilitados por el usuario, los originados por el responsable en el tratamiento de datos e incluso los inferidos por éste último. Para aclararnos dichas dudas y analizar en profundidad el derecho a la portabilidad y el tipo de datos deben de ser facilitados por el responsable al interesado, el Grupo de Trabajo 29 ha publicado una guía denominada:

“Sobre el derecho a la portabilidad de los datos, el 13 de diciembre de 2016, 16/EN/242”

En esta guía de interpretación se abordan las siguientes cuestiones:

  • ¿Cuáles son los principales elementos de la portabilidad de los datos?
  • ¿Cuándo es aplicable la portabilidad de los datos?
  • ¿De qué modo se aplican las normas generales que rigen el ejercicio de los derechos de los interesados a la portabilidad de los datos?
  • ¿Cómo deben proporcionarse los datos que pueden portarse?

Recomendamos su lectura para una correcta interpretación del derecho a la portabilidad, no obstante y en relación con la principal pregunta que se hacen los responsables respecto del alcance de la portabilidad, el GT 29 ha manifestado en dicha guía que los datos que cubre el derecho a la portabilidad son fundamentalmente los datos proporcionados de forma activa y consciente por el interesado, y aquellos datos que son proporcionados también por el interesado en virtud del uso del servicio o el dispositivo. En este último caso la guía del GT29 destaca como ejemplos de datos originados por el servicio, el historial de búsqueda, los datos de tráfico y los datos de ubicación. Podemos concluir por tanto que los datos inferidos o deducidos del interesado y por tanto creados por el responsable sobre la base de los datos proporcionados por éste último, no estarían incluidos en el derechos a la portabilidad.

PREGUNTAS FRECUENTES:

En lo relativo al alcance del derecho de portabilidad, el artículo 20 RGPD indica que solo se aplica al tratamiento basado en el consentimiento del interesado o ejecución de un contrato. ¿Excluye su aplicación, entonces, ante otros tratamientos como el necesario para cumplir una misión de interés público?

Efectivamente el derecho a la portabilidad se dará siempre y cuando el tratamiento esté basado en el consentimiento o sea necesario para la ejecución de un contrato, por tanto, quedarían exceptuados cuando sea necesario para cumplir una obligación legal aplicable al responsable o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.

Una de las cuestiones que más incertidumbre pueden desprender es la extensión de este derecho. En este sentido, ¿qué datos debe el responsable facilitar a los interesados? ¿Solo aquellos que el interesado haya facilitado o todos los que se hayan podido generar durante el tiempo que la empresa los ha tratado? 

Efectivamente, es una de las cuestiones más controvertidas en relación al derecho de portabilidad. En principio, el derecho está pensado para que sea posible cambiar de proveedor de servicios y continuar con el servicio de una forma relativamente sencilla, pero con nuevo proveedor. Por tanto, sería más razonable preguntarse qué datos personales va a necesitar el nuevo proveedor. En definitiva, la portabilidad debe aplicarse sobre aquellos datos básicos para que el otro operador o empresa que presta servicios similares pueda empezar a trabajar sin necesidad de que tengas que rellenar otra vez todos los formularios que son necesarios para poder comenzar la relación jurídica. De este modo, facilitar absolutamente todos los datos puede suponer una extralimitación de lo que debería ser el derecho a la portabilidad, no obstante el GT29 ha establecido en su guía sobre el derecho de portabilidad que deberán ser facilitados los datos facilitados por el interesado y los obtenidos del mismo en la prestación del servicio, podemos por tanto encontrarnos en según qué servicios o casos con una cantidad masiva de datos del interesado que deberán ser facilitadas al mismo o a su nuevo proveedor. Desde mi punto de vista esto puede originar muchos problemas no sólo económicos por la dedicación de tiempo y personal para realizar la portabilidad, si no también de falta de información al usuario que autorice extracción masiva de sus datos por nuevos proveedores excediéndose dicha entrega de los datos que realmente quiere el interesado ceder al nuevo proveedor para la prestación del servicio.

CONCLUSIONES

  • Es el derecho a recibir el interesado u otro responsable los datos personales del interesado en formato común y estructurado siempre y cuando el tratamiento se base en el consentimiento o en la ejecución de un contrato.

 

2.7 DERECHO DE OPOSICIÓN

El derecho a la oposición viene regulado en el art. 21 y en los considerandos 69 a 70 del RGPD.

Artículo 21: Derecho de oposición

  1. El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) (interés público) o f) (interés legítimo), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.
  2. Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.
  3. Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.
  4. A más tardar en el momento de la primera comunicación con el interesado, el derecho indicado en los apartados 1 y 2 será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier otra información.
  5. En el contexto de la utilización de servicios de la sociedad de la información, y no obstante lo dispuesto en la Directiva 2002/58/CE (sobre privacidad, ver considerando 173), el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas.
  6. Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89 (Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público…), apartado 1, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público.
  1. Alcance

Se establecen los siguientes supuestos específicos en los que poder ejercitar el derecho de oposición:

  • En los supuestos de tratamiento de datos en interés público (6.1 e)
  • En los supuestos de interés legítimo (6.1 f).

En el caso de que los datos sean tratados con finalidades de Marketing Directo el responsable está obligado en todo momento a dejar de tratar los datos en cuanto el interesado se oponga a dicho tratamiento. Además, deberá comunicar su derecho al interesado en la primera comunicación que realice de forma clara y al margen de cualquier otra información.

  1. Modo

A diferencia de nuestra normativa, en la que era el interesado quién debía demostrar la situación particular para la oposición, en el RGPD se invierte dicha carga siendo obligación del responsable demostrar que existen motivos suficientes que prevalezcan sobre los derechos y libertades del interesado. En caso contrario, dejará de tratar los datos personales del interesado.

PREGUNTAS FRECUENTES:

En relación con este derecho y el derecho de supresión, en este último caso ¿el ejercicio de la supresión supone que el interesado permite al responsable tener sus datos en mis sistemas, con la circunstancia de que no puedo usarlos?

El derecho a la supresión no significa que los datos deban ser eliminados, sino que debe dejarse de tratar los mismos, y por tanto podrían ser mantenidos conforme a los requisitos del artículo 17.3. Aunque se supriman los datos porque dejan de ser útiles para la finalidad en la que fueron recabados, o porque ejerciten el derecho de supresión, es posible su conservación para defenderte frente a reclamaciones, ya que de lo contrario quedarías en indefensión frente por ejemplo una demanda del interesado que sabe que ejercitó el derecho de supresión.

Los supuestos del 17.3 serían:

  • El ejercicio de las libertades de expresión e información
  • El Cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros.
  • Tratamiento para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
  • Razones de interés público en el ámbito de la salud pública.
  • Fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el derecho pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento
  • Formulación, ejercicio o defensa de reclamaciones.

En conclusión, mientras que en la oposición estamos ante un tratamiento ilegítimo en apariencia o un tratamiento sobre el cual prevalecen los derechos del interesado, manifestando el mismo su disconformidad (su oposición a dicho tratamiento, valga la redundancia); el derecho de supresión supone dejar de utilizar una serie de datos personales sobre los cuales en su día hubo una base legal y justificada para su tratamiento.

CONCLUSIONES

  • Se invierte la carga de la prueba siendo el responsable el que debe de demostrar la existencia de intereses superiores a los del interesado.
  • Opt-out en el marketing Directo.

 

2.8 DERECHO A LIMITAR LAS DECISIONES INDIVIDUALES AUTOMATIZADAS

El derecho a las decisiones automatizadas viene regulado en los art. 21 y considerandos 69 a 70 del RGPD.

Artículo 22: Decisiones individuales automatizadas, incluida la elaboración de perfiles

  1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
  2. El apartado 1 no se aplicará si la decisión:
    1. es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;
    2. está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
    3. se basa en el consentimiento explícito del interesado.
  3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
  4. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9 (Tratamiento de categorías especiales de datos personales), apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
  1. Alcance

Se incluyen las elaboraciones de perfiles o profiling y se establece que los interesados tendrán derecho a no ser objeto de dichos tratamientos basados únicamente en tratamientos automatizados que produzcan efectos jurídicos o afecten al interesado de forma similar. El considerando 71 establece como ejemplos:

“la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna”

Así mismo, establece dicho considerando lo que puede llegar a entenderse por elaboración de perfiles:

“…elaboración de perfiles consistente en cualquier forma de tratamiento de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar.”

“….el responsable debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles, aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen inexactitudes en los datos personales y se reduce al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado y se impidan, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o que den lugar a medidas que produzcan tal efecto. Las decisiones automatizadas y la elaboración de perfiles sobre la base de categorías particulares de datos personales únicamente deben permitirse en condiciones específicas.”

 Como excepciones se establecen las relaciones contractuales libremente aceptadas y el consentimiento o la previsión del Derecho Nacional o de la UE. Además, se establece que, en el caso de que se haya prestado el consentimiento o exista una relación contractual libremente aceptada, el tratamiento debe estar sujeto a las siguientes garantías adecuadas:

  • Incluir información específica al interesado.
  • Derecho a obtener intervención humana.
  • Derecho a expresar su punto de vista.
  • Derecho a recibir una explicación de la decisión tomada después de la evaluación.
  • Derecho a impugnar la decisión.

PREGUNTAS FRECUENTES:

Con este nuevo derecho, un interesado además de negarse a usar sus datos para elaborar perfiles ¿a qué otro tipo de cosas puede negarse? Si tengo en mis sistemas algún algoritmo que haga este tipo de tratamientos ¿debo informar a los interesados? ¿Cómo pueden ellos saber que los uso?

Realmente, esta consulta puede resolverse con un ejemplo práctico. Imaginemos que no se concede un crédito porque una decisión automatizada sin intervención humana. Que una máquina tome una decisión automatizada que produzca efectos jurídicos o afecte de modo similar sin el consentimiento del interesado no es posible, y aunque lo obtuviera, dicho interesado tiene derecho a incluir información específica al interesado, derecho a obtener intervención humana, derecho a expresar su punto de vista y derecho a recibir una explicación de la decisión tomada después de la evaluación.

Este derecho ¿se podría entender como el de Limitación de Tratamiento, pero siendo permanente y no temporal como el de limitación?

En principio es un derecho con autonomía propia que se da en las circunstancias que marca el art. 21.

CONSULTA: En relación con este derecho y el derecho de supresión, en este último caso ¿el ejercicio de la supresión supone que el interesado me deja tener sus datos en mis sistemas, con la circunstancia de que no puedo usarlos?

El derecho a la supresión no significa que los datos deban ser eliminados, sino que que debe dejarse de tratarlos, y podrían ser mantenidos conforme a los requisitos del artículo 17.3. Aunque se supriman los datos porque dejan de ser útiles para la finalidad en la que fueron recabados o porque ejerciten el derecho de supresión, es posible su conservación para defenderte frente a reclamaciones, ya que de lo contrario quedarías en indefensión frente por ejemplo una demanda del interesado que sabe que ejercitó el derecho de supresión.

Los supuestos del 17.3 serían:

  • El ejercicio de las libertades de expresión e información
  • El Cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros.
  • Tratamiento para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
  • Razones de interés público en el ámbito de la salud pública.
  • Fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el derecho pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento
  • Formulación, ejercicio o defensa de reclamaciones.

En conclusión, mientras que en la oposición estamos ante un tratamiento ilegítimo en apariencia o un tratamiento sobre el cual prevalecen los derechos del interesado, manifestando el mismo su disconformidad (su oposición a dicho tratamiento, valga la redundancia); el derecho de supresión supone dejar de utilizar una serie de datos personales sobre los cuales en su día hubo una base legal y justificada para su tratamiento.

CONCLUSIONES

  • Se permite con el consentimiento del interesado o en relaciones contractuales libremente aceptadas, siempre y cuando se garantice incluir información al respecto y se garantice el derecho del interesado a la intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión y a impugnar la misma.

 

17
Abr

Reglamento General de Protección de Datos (RGPD) : Derechos de rectificación, supresión y limitación

2.3 DERECHO DE RECTIFICACIÓN

El derecho de rectificación viene regulado en al art. 16 y en el considerando 65 del RGPD.

Artículo 16: Derecho de rectificación
El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

Existe una vinculación directa del derecho a la rectificación con el carácter inexacto o incompleto de los datos. Será por tanto obligación de los responsables que los datos no sean incompletos o inexactos, debiendo garantizar que los mismos serán actualizados sin dilación indebida y al mismo tiempo el interesado tiene el derecho a que sus datos sean rectificados en los supuestos en que los mismos sean inexactos.

 

2.4 DERECHO DE SUPRESIÓN

El derecho de supresión viene regulado en al art. 17 y en los considerandos 65 y 66 del RGPD.

Artículo 17: Derecho de supresión

  1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:
    1. los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
    2. el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a) (Consentimiento), o el artículo 9, apartado 2, letra a) (Consentimiento en categorías especiales de datos), y este no se base en otro fundamento jurídico;
    3. el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1 (Derecho de oposición personal, interés público o interés legítimo), y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2 (Derecho de oposición marketing Directo);
    4. los datos personales hayan sido tratados ilícitamente;
    5. los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
    6. los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8 (Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información), apartado 1.
  2. Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.
  3. Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:
    1. para ejercer el derecho a la libertad de expresión e información;
    2. para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;
    3. por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3 (Tratamiento de categorías especiales de datos personales);
    4. con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1 (Investigación científica estadística), en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o
    5. para la formulación, el ejercicio o la defensa de reclamaciones.

 

  1. Alcance

El derecho a la supresión de los datos y por tanto que los mismos sean suprimidos y dejen de tratarse por el responsable sin dilación indebida se produce en los siguientes supuestos:

  • Dejan de ser necesarios para los fines en los que fueron recabados.
  • El consentimiento ha sido retirado por el interesado.
  • El interesado se opone al tratamiento de los mismos conforme al 21 del RGPD.
  • Los datos han sido tratados ilícitamente.
  • Para el cumplimiento de una obligación legal establecida por el Derecho de la UE o de los Estados miembros.
  • Se hayan obtenido en relación a una oferta de servicios de la sociedad de la información efectuada a menores conforme el 8 del RGPD (consentimiento de menores en relación a los SSI).

Se hace también referencia expresa al “Derecho al olvido”. Es decir, a la manifestación del derecho de supresión en Internet. De manera que cuando el responsable de tratamiento haya publicado datos personales que han dejado de ser útiles o necesarios para la finalidad en que fueron recabados y reciba solicitudes de supresión de interesados adoptará las medias razonables para informar a los responsables que estén tratando dichos datos personales de que existe una solicitud de supresión del interesado que afecta tanto a enlaces, como a cualquier copia o réplica.

  1. Derecho a la Retención o Bloqueo.

Si bien no hay una mención expresa al bloqueo de datos, si se establece en el art. 17 y considerando 65 una mención a la posible retención de los datos por parte del responsable de tratamiento o excepciones al derecho de supresión. Así se señala que, aunque los datos dejen de ser útiles o necesarios o el interesado retire el consentimiento para el tratamiento, cuando el tratamiento es necesario para:

  • El ejercicio de las libertades de expresión e información
  • El Cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros.
  • Tratamiento para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
  • Razones de interés público en el ámbito de la salud pública.
  • Fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el derecho pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento
  • Formulación, ejercicio o defensa de reclamaciones.

PREGUNTAS FRECUENTES:

¿Es posible realizar un bloqueo de datos por responsabilidades nacidas del tratamiento de datos solo durante los plazos legales establecidos de responsabilidad según el apartado 17.3 b RGPD?

El plazo para el ejercicio de las acciones legales de responsabilidad que se establecen en la ley Española es la que efectivamente nos permitiría realizar una conservación o bloqueo de datos personales, y por tanto conservarlos durante el plazo de prescripción de dichas acciones. Sin embargo, pueden existir otros supuestos de conservación, como los establecidos en el  art. 17.3 e): formulación, ejercicio o defensa de reclamaciones etc. En algún caso podría incluso surgir un conflicto en relación a la información facilitada al interesado sobre el plazo de conservación, ya que podría producirse un incumplimiento si transcurrido dicho plazo los datos se siguen conservando para el ejercicio o defensa de reclamaciones. En estos casos de posible conflicto, la conclusión a la que llegamos, es que si una ley obliga a dicha conservación, o si se ha informado al interesado de la posibilidad de conservar los datos personales para el ejercicio de acciones, los mismos podrían ser conservados y por tanto bloqueados únicamente para el ejercicio de dichas acciones de responsabilidad existentes (17.3 b) o para la formulación o atención a las reclamaciones (17.3 e).

¿Qué cambios introduce el RGPD en el actual procedimiento de cancelación/bloqueo?

Desde un punto de vista práctico, el RGPD no introduce grandes cambios, puesto que se permite conservar los datos para atender a posibles reclamaciones. Por tanto, será posible conservar los datos o mantenerlos bloqueados para atender a las reclamaciones que puedan surgir en función de la responsabilidad de dichos tratamientos. Si bien no se hace mención a ello específicamente, entendemos que no permitir dicho bloqueo con conservación podría producir una situación de indefensión al Responsable si tiene que eliminarlos o borrarlos y luego no puede presentarlos como prueba en procedimientos judiciales. En todo caso lo que, sí sería necesario de regular es el procedimiento por el que se procede al bloqueo para garantizar que dichos datos no serán tratados con otras finalidades y que por tanto únicamente se accederá a ellos para la atención de dichas responsabilidades surgidas del tratamiento.

 

CONCLUSIONES

  • La supresión se producirá cuando dejen de ser necesarios para la finalidad en que fueron recabados, se retire el consentimiento, el interesado se oponga, lo establezca la ley, en supuestos de menores y SSI, y cuando han sido tratados ilícitamente.
  • Se permite conservar los datos para el ejercicio o defensa de reclamaciones.

 

2.5 DERECHO DE LIMITACIÓN DEL TRATAMIENTO

El derecho a la limitación viene regulado en los art. 18 y considerando 67 del RGPD.

Artículo 18: Derecho a la limitación del tratamiento

  1. El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:
    1. el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;
    2. b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
    3. c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
    4. d) el interesado se haya opuesto al tratamiento en virtud del artículo 21 (Derecho de oposición), apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
  2. Cuando el tratamiento de datos personales se haya limitado en virtud del apartado 1, dichos datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro.
  3. Todo interesado que haya obtenido la limitación del tratamiento con arreglo al apartado 1 será informado por el responsable antes del levantamiento de dicha limitación.
  1. Alcance

El derecho a la limitación del dato personal establece un derecho a que los datos sean marcados de tal manera que se evite por parte del responsable un tratamiento en un futuro.

Art.4. Definiciones

3) “limitación del tratamiento”: el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro;

Si bien en nuestra normativa de protección de datos establecía que el bloqueo era una consecuencia derivada de la cancelación, en el caso de la limitación es un derecho en sí mismo considerado. De tal manera que el responsable de tratamiento deberá limitar el mismo en determinados supuestos:

  • Impugnación de exactitud de datos, durante el plazo que se permite al responsable verificar la misma.
  • Tratamientos ilícitos en los que el interesado se opone a la supresión.
  • Los datos ya no son necesarios para la finalidad del tratamiento pero el interesado los necesita para la formulación, el ejercicio o la defensa de reclamaciones.
  • Oposición conforme al art. 21 del RGPD.
  1. Modo

En los supuestos contemplados de limitación, los datos sólo podrán ser objeto de tratamiento para:

  • Su conservación.
  • Con el consentimiento del interesado.
  • Para la formulación, el ejercicio o defensa de reclamaciones.
  • Para la protección de los derechos de la persona física o jurídica
  • Por razones de interés público de la UE o Estados miembros.

Los interesados que obtengan la limitación de sus datos deberán ser informados por los responsables antes del levantamiento de dicha limitación.

Por último, el considerando 67 establece qué métodos son aconsejables para la limitación del tratamiento.

Entre los métodos para limitar el tratamiento de datos personales cabría incluir los consistentes en trasladar temporalmente los datos seleccionados a otro sistema de tratamiento, en impedir el acceso de usuarios a los datos personales seleccionados o en retirar temporalmente los datos publicados de un sitio internet. En los ficheros automatizados la limitación del tratamiento debe realizarse, en principio, por medios técnicos, de forma que los datos personales no sean objeto de operaciones de tratamiento ulterior ni puedan modificarse. El hecho de que el tratamiento de los datos personales esté limitado debe indicarse claramente en el sistema.

PREGUNTAS FRECUENTES:

¿El derecho en la limitación del tratamiento debe ser solicitado expresamente por el interesado o es una medida que deberá adoptar directamente el responsable del tratamiento cuando concurran los supuestos del art. 18.1?

El derecho en la limitación del tratamiento se concibe, más bien, como una verdadera obligación del responsable del tratamiento.

Cuando un interesado me solicite suprimir sus datos y pueda hacerlo porque ya no sean necesarios por ninguna causa, contractual, legal…. ¿Podría anonimizarlos en lugar de borrarlos de mis Sistemas?

Con la anonimización de los datos personales ya no es aplicable la normativa de protección de datos, de tal modo que la opción de anonimización en lugar de borrado es altamente recomendable.

Según el art. 18 RGPD el interesado tendrá derecho a obtener del responsable de Tratamiento la limitación del tratamiento de datos, en unos supuestos determinados; ¿pero esta limitación opera por defecto o como un derecho del interesado, éste debe solicitarla?

En los apartados b) y c) del art 18, está claro que el interesado ejercita el derecho cuando se opone a la supresión de los datos y solicita la limitación de uso o cuando le manifiesta al responsable que limite el tratamiento porque los necesita para reclamaciones.

En cambio, en los apartados a) y d) surge la duda de si debe operar por defecto o debe ser solicitado por el interesado:

Cuando el interesado impugne la exactitud de los datos, el responsable deberá limitar el tratamiento, por tanto, es consecuencia del interesado.

Cuando el tratamiento es lícito y el interesado se opone a la supresión, en este caso también nace del interesado.

En conclusión, más que una solicitud como tal del interesado, se viene entendiendo que la limitación en el tratamiento es una obligación del responsable ante determinadas actuaciones del interesado, conforme dicta el art. 18.

 

CONCLUSIONES

  • La limitación se debe de realizar por el responsable cuando el interesado impugne la exactitud de los datos, haya ejercitado el derecho de oposición, el tratamiento es ilícito y el interesado se opone a la supresión, y aunque los datos no son necesarios el interesado los necesita para su defensa ante reclamaciones.

 

10
Abr

Reglamento General de Protección de Datos (RGPD) : Derechos del Interesado

1 DERECHOS DEL INTERESADO

EL RGPD regula en el Capítulo III los derechos del interesado en materia de protección de datos los cuales quedan descritos en los art. 15 a 20 y en los considerandos 58 a 71. Como veremos más adelante, el RGPD introduce nuevos derechos a los ya existentes en nuestra normativa de protección de datos (los comúnmente denominados derechos ARCO por el acrónimo de Acceso, Rectificación, Cancelación y Oposición) como son el derecho a la portabilidad del dato y el derecho a la limitación en el tratamiento.

1.1 CUESTIONES GENERALES

A través del art. 12 y considerando 59 se establecen por el RGPD las condiciones generales en las que se deben de dar los derechos del interesado, indicando los plazos, las formas etc.

Artículo 12: Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado

  1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 (Información a facilitar al interesado) y 14 (Información cuando no se obtengan los datos del interesado), así como cualquier comunicación con arreglo a los artículos 15 a 22 (Derechos del interesado) y 34 (Violación de Seguridad) relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.
  2. El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 15 a 22 (Derechos del interesado). En los casos a que se refiere el artículo 11, (Tratamiento que no requiere identificación como las credenciales de acceso) apartado 2, el responsable no se negará a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 15 a 22 (Derechos del interesado), salvo que pueda demostrar que no está en condiciones de identificar al interesado.
  3. El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22 (Derechos del interesado), y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.
  4. Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.
  5. La información facilitada en virtud de los artículos 13 (Información a facilitar al interesado) y 14 (Información cuando no se obtengan los datos del interesado) así como toda comunicación y cualquier actuación realizada en virtud de los artículos 15 a 22 (Derechos del interesado) y 34 (Violación de Seguridad) serán a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:
    1. cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o
    2. negarse a actuar respecto de la solicitud.

    El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

  6. Sin perjuicio de lo dispuesto en el artículo 11 (Tratamiento que no requiere identificación como las credenciales de acceso), cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21 (Derechos del interesado), podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.
  7. La información que deberá facilitarse a los interesados en virtud de los artículos 13 (Información a facilitar al interesado) y 14 (Información cuando no se obtengan los datos del interesado) podrá transmitirse en combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente.
  8. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 92 (Ejercicio de Delegación) a fin de especificar la información que se ha de presentar a través de iconos y los procedimientos para proporcionar iconos normalizados

Las condicione generales en las que se deben dar los derechos son:

  1. Transparencia: Toda la información que se dirija al interesado ha de ser concisa, de fácil acceso y a través de un lenguaje claro y sencillo. Se intenta evitar las políticas de privacidad excesivamente largas o difíciles de entender. Además, especialmente se establece que en el caso de que vayan dirigidas a menores, las mismas deberán ser no sólo de lenguaje claro y sencillo, sino también entendible por éstos últimos.
  1. Obligación de expresa del ejercicio de Derechos: a diferencia de la Directiva, en el RGPD se establece como una obligación expresa de los responsables hacer efectivos los derechos del interesado.
  1. Plazos: se establece un plazo de 1 mes para hacer efectivo el derecho del interesado, el cual puede ser prorrogado por 2 meses más en supuestos de complejidad o número de solicitudes recibidas. En cualquier caso, deberán ser informadas dichas prórrogas avisando expresamente al interesado de los motivos de la mismas.
  1. Medios Electrónicos: se establece en el considerando 59 que el responsable debe proporcionar medios al interesado para que las solicitudes se presenten por medios electrónicos, sobre todo cuando dicho tratamiento es realizado por dichos medios. Además, deberá darse respuesta por medios electrónicos si la solicitud es realizada a través de los mismos, salvo que el interesado manifieste lo contrario.
  1. Negativa a la solicitud: en los supuestos en los que no se le conceda el ejercicio de derechos, deberá ser informado en el mismo plazo de un mes de los motivos para dicha negativa, y de la posibilidad de presentar la correspondiente reclamación ante la Autoridad competente.
  1. Gratuidad: Si bien el ejercicio de los derechos deberá ser gratuito para los interesados, se establecen los supuestos en los que el responsable puede cobrar una tasa o canon razonable o incluso negarse a responder. Dichos supuestos son los casos de solicitudes abusivas de ejercicio de derechos manifiestamente infundadas o excesivas, y en particular aquellas que tengan un carácter repetitivo.
  1. Información adicional: se podrá solicitar por los responsables del tratamiento información adicional para la identificación del interesado en aquellos casos en los que existan dudas razonables sobre la identidad de la persona física que realiza la solicitud.

CONCLUSIONES

  • Plazo de 1 mes desde la recepción de la solicitud.
  • Uso de medios electrónicos en las solitudes realizadas por estos medios.
  • Políticas de privacidad claras sencillas y de fácil acceso

 

1.2 DERECHO A LA INFORMACIÓN.

El derecho a la información se regula en los art. 13 y 14 así como en los considerandos 60 a 62 del RGPD. A diferencia de la Directiva la obligación de información que tenían los responsables del tratamiento de datos pasa a ser un derecho del interesado y no un deber u obligación del responsable.

El derecho a ser informado y su contenido se divide en dos, en función del origen de la obtención del dato:

  1. Datos obtenidos del interesado:

El art.13 incrementa la información que ha de facilitarse al interesado.

Artículo 13: Información que deberá facilitarse cuando los datos personales se obtengan del interesado

  1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
    1. la identidad y los datos de contacto del responsable y, en su caso, de su representante;
    2. los datos de contacto del Delegado de Protección de Datos, en su caso;
    3. los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
    4. cuando el tratamiento se base en el artículo 6, apartado 1, letra f) (Interés legítimo), los intereses legítimos del responsable o de un tercero;
    5. los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
    6. en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 (Transferencias mediante garantías adecuadas) o 47 (Normas corporativas vinculantes) o el artículo 49 (Excepciones para situaciones específicas), apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
  2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
    1. el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
    2. la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
    3. cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a) (Consentimiento), o el artículo 9, apartado 2, letra a) (Consentimiento explícito categorías especial datos), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;
    4. el derecho a presentar una reclamación ante una autoridad de control;
    5. si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
    6. la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, (Decisiones individuales automatizadas, incluida la elaboración de perfiles) y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
  3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.
  4. Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.

Podríamos clasificarla en información Fija y Variable, siendo la primera aquella información que siempre se ha de facilitar al interesado y Variable aquella información que varía en función de que la misma sea aplicable al supuesto de hecho o al concreto responsable de tratamiento de que se trate.

Información Fija:

  • Identidad y datos de contacto del responsable y, en su caso, de su representante.
  • La finalidad del tratamiento y la base jurídica para el tratamiento del mismo.
  • Plazos de conservación de los datos o criterios para determinar el plazo.
  • De la posibilidad de solicitar el ejercicio de derechos: acceso, rectificación, supresión, limitación, oposición y portabilidad.
  • El derecho a revocar el consentimiento.
  • El derecho a presentar reclamación ante la Autoridad de Control.

Información Variable:

  • Identidad del Delegado de Protección de Datos.
  • Del interés legítimo del responsable o un tercero, en el caso de uso de dichos supuestos de tratamiento.
  • De los destinatarios en caso de que existan.
  • De las transferencias internacionales incluyendo información sobre las garantías adoptadas.
  • De la existencia de decisiones individualizadas automatizadas.
  • La existencia de comunicaciones de datos, bien por requisito legal o contractual, y de la obligación a facilitar dichos datos y las consecuencias de la negativa a facilitarlos.

La referida información no será de aplicación en los supuestos en los que interesado ya disponga de la misma.

  1. Datos No obtenidos del interesado

En el art.14 se establece la información que se deberá facilitar cuando los datos no hayan sido recabados u obtenidos del interesado. En estos casos el responsable deberá facilitar en el plazo de 1 mes (se modifica el plazo de 3 meses de nuestra normativa) además de la información anterior del art. 13 la siguiente información:

  • El origen de los datos.
  • Las categorías de datos.

Se aclara además que en estos supuestos de no obtención directa del interesado el plazo para informar es de un mes con dos excepciones:

  • Si trata el dato para comunicarse con el afectado, se deberá informar antes o a más tardar en la primera comunicación que se dirija.
  • Si se realiza el tratamiento para facilitárselo a un tercero, se deberá informar antes de la comunicación o a más tardar en el momento en que los datos sean comunicados por primera vez (lo que era el antiguo art. 27 de la LOPD)

Adicionalmente, se establece que en los casos en los que se proyecte realizar un tratamiento posterior para una finalidad distinta a la de la recogida y obtención del dato, se deberá informar con anterioridad a dicho tratamiento de toda la información recogida en dichos arts. 13 y 14.

Por último, en el art. 14.5 se establecen los supuestos o excepciones respecto al deber de información al interesado:

14.5. Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que:

  1. el interesado ya disponga de la información;
  2. la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, a reserva de las condiciones y garantías indicadas en el artículo 89, apartado 1 (Investigación científica o estadística), o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas para proteger los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información;
  3. la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado, o
  4. cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza estatutaria.

Al igual que en el supuesto de obtención directa del interesado, no será necesario informar en los casos en los que el interesado ya dispone de dicha información, ni en los siguientes supuestos:

  • Resulte imposible o suponga un esfuerzo desproporcionado en caso de tratamiento con fines de archivo, estadísticos o de investigación científica o histórica. Se entiende por el considerando 62 que para que se dé esta circunstancia es necesario tener en consideración el número de interesados, la antigüedad de los casos y las garantías adoptadas.
  • Exista una Previsión legal expresa de tratamiento o prohibición de revelación, con medidas oportunas de protección.
  • Obligación de secreto legal o profesional.

 

  1. Guía de la AEPD para el cumplimiento del deber de informar.

En relación con el deber de información la AEPD de datos ha publicado unas Guías para el cumplimiento del deber de informar en donde destaca la división de la información por capas o niveles, de forma similar a como se venía realizando con las cookies. Así la AEPD recomienda dividir la información en dos capas, de tal forma que una primera capa se informe de la información básica y resumida del tratamiento de datos en el mismo momento y en el mismo medio en el que se recojan los datos, para a continuación remitir a un segundo nivel o segunda capa en donde se incluirá de forma detallada el resto de obligaciones de información. Esta segunda capa podrá ser un medio distinto más adecuado para su presentación y comprensión pudiendo tratarse incluso de un archivo descargable. El cuadro resumen publicado por la AEPD sería el siguiente:

 

Epígrafe Información básica (1a capa, resumida) Información adicional (2a capa, detallada)
“Responsable”
(del tratamiento)
Identidad del Responsable del Tratamiento Datos de contacto del Responsable
Identidad y datos de contacto del representante
Datos de contacto del Delegado de Protección de Datos
“Finalidad”
(del tratamiento)
Descripción sencilla de los fines del tratamiento, incluso elaboración de perfiles Descripción ampliada de los fines del tratamiento
Plazos o criterios de conservación de los datos
Decisiones automatizadas, perfiles y lógica aplicada
“Legitimación”
(del tratamiento)
Base jurídica del tratamiento Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo.
Obligación o no de facilitar datos y consecuencias de no hacerlo
“Destinatarios”
(de cesiones o transferencias)
Previsión o no de Cesiones Destinatarios o categorías de destinatarios
Previsión de Transferencias, o no, a terceros países Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables
“Derechos”
(de las personas interesadas)
Referencia al ejercicio de derechos. Como ejercer los derechos de acceso, rectificación, supresión y portabilidad de sus datos, y la limitación u oposición a su tratamiento
Derecho a retirar el consentimiento prestado
Derecho a reclamar ante la Autoridad de Control
“Procedencia”
(de los datos)
Fuente de los datos (cuando no proceden del interesado) Información detallada del origen de los datos, incluso si proceden de fuentes de acceso público
Categorías de datos que se traten

 

De esta manera ala AEPD recomienda presentar siempre los cinco primeros epígrafes (“Responsable”, “Finalidad”, “Legitimación”, “Destinatarios” y “Derechos”), añadiendo el epígrafe “Procedencia” únicamente cuando los datos no procedan del propio interesado. El objetivo por tanto por un lado es facilitar la tarea del Responsable del Tratamiento a la hora de diseñar sus procedimientos y formularios de recogida de datos, y por otro, conseguir que las personas interesadas obtengan la información más relevante de forma rápida y simplificada en una primera capa, pero sin que ello suponga ningún menoscabo de los principios de licitud, lealtad y transparencia que establece el RGPD.

Un ejemplo de Cláusula de información en formato papel podría ser el siguiente:

Ejemplo de Cláusula Información básica 1ª capa en formato Papel sobre Protección de Datos
Responsable Ediciones Warren&Brandeis, S.A.
Finalidad Gestión de la suscripción
Legitimación Ejecución de un contrato
Destinatarios No se cederán datos a terceros, salvo obligación legal
Derechos Acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional
Información adicional Puede consultar la información adicional y detallada sobre Protección de Datos en nuestra página web: http://www.warrenbrandeis.com/protecciondatos

 

Otra ejemplo de cláusula de información en formato electrónico podría ser el siguiente:

Información básica sobre Protección de Datos
Responsable Ediciones Warren&Brandeis, S.A.  +info
Finalidad Gestionar el envío de información y prospección  comercial  +info
Legitimación Consentimiento del interesado  +info
Destinatarios Otras empresas del grupo Warren&Brandeis, Inc. Encargados de Tratamiento fuera de la UE, acogido  a “Privacy Shield”  +info
Derechos Acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional  +info
Información adicional Puede consultar la información adicional y detallada sobre Protección de Datos en nuestra página web: http://www.warrenbrandeis.com/protecciondatos/info/

 

CONCLUSIONES

  • Información fija a facilitar: Datos del responsable, finalidad y base jurídica del tratamiento, plazo de conservación, ejercicio de derechos, posibilidad de revocar el consentimiento y posibilidad de reclamación.
  • Información variable: Cesiones o comunicaciones, Delegado de PD, Interés legítimo, Transferencias internacionales y decisiones automatizadas.
  • En caso de no obtener la información del interesado se deberá informar en el plazo de 1 mes añadiendo información sobre el origen de los datos y las categorías de datos obtenidas.
  • Se recomienda por las Autoridades de control dividir la información en dos capas, una de primer nivel con la información básica resumida y otra de segundo nivel con información adicional detallada.

 

1.3 DERECHO DE ACCESO

El derecho de acceso viene regulado en al art. 15 y en los considerandos 63 y 64 del RGPD.

Artículo 15: Derecho de acceso del interesado

  1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:
    1. los fines del tratamiento;
    2. las categorías de datos personales de que se trate;
    3. los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
    4. de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
    5. la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
    6. el derecho a presentar una reclamación ante una autoridad de control;
    7. cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
    8. la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4 (Decisiones individuales automatizadas, incluida la elaboración de perfiles), y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
  2. Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia (Transferencia con garantías adecuadas).
  3. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.
  4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros.
  1. Alcance

A diferencia con el derecho de acceso de nuestra normativa de protección de datos, el derecho de acceso que introduce el RGPD, es un derecho más amplio que debe incluir la siguiente información:

  • Finalidad del tratamiento.
  • Categoría del dato tratado.
  • Destinatarios.
  • Plazo de conservación.
  • Existencia del derecho a rectificar, suprimir, limitar u oponerse al tratamiento.
  • Reclamación.
  • Origen de la fuente de obtención del dato.
  • Existencia de decisiones individuales automatizadas y elaboración de perfiles, así como la lógica aplicada para las mismas.
  • Transferencias internacionales y garantías implantadas para la realización de las mismas.

Respecto al modo en el que se debe facilitar el acceso, el art. 15.3 y el considerando 63 señalan que se deberá facilitar una copia de los datos objeto de tratamiento de forma sencilla o con facilidad en intervalos de plazo razonables, con el fin de que el interesado pueda verificar y conocer la licitud del tratamiento. Se hace una mención específica en dicho considerando, a los datos relativos a la salud incluidos en los Historiales Clínicos, debiendo contener información sobre diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas.

Así mismo, en caso de que el interesado solicite otra copia, esta podrá ser remunerada con una tasa o canon razonable basado en los costes administrativos que suponga dicha copia. Además, debe facilitarse por medios electrónicos de uso común, si el interesado utilizó estos para realizar su solicitud. A este respecto, el considerando 63 establece que los responsables deben estar facultados para permitir un acceso remoto seguro que ofrezca al interesado un acceso directo a sus datos personales.

Se habilita igualmente por el considerando 63 la posibilidad de solicitar al interesado mayor concreción en la solicitud de acceso cuando la misma conlleve gran cantidad de información relativa al interesado.

Por último, en el mismo considerando se restringe el ejercicio del derecho de acceso a que el mismo no afecte negativamente a los derechos y libertades de otros, incluidos los secretos comerciales o la propiedad intelectual, y en particular los derechos de propiedad intelectual que protegen los programas informáticos.

 

CONCLUSIONES

  • Se amplía el derecho de acceso a la finalidad, categoría de datos, destinatarios, plazo de conservación, existencia de los restantes derechos y posibilidades de reclamar y, en su caso, al origen de la fuente del dato, existencia de decisiones automatizadas, elaboración de perfiles, y transferencias internacionales.
  • Se habilita al responsable a que en supuestos de grandes cantidades de información solicite  mayor concreción al interesado.
3
Abr

Reglamento General de Protección de Datos (RGPD) : Licitud en el Tratamiento

7. LICITUD EN EL TRATAMIENTO

 

7.1 LEGITIMIDAD EN EL TRATAMIENTO

La licitud o legitimidad en el tratamiento de datos se encuentra regulado en el art. 6 y en los considerandos 41, y 45 a 50.

Artículo 6: Licitud del tratamiento.

  1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
    1. el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
    2. el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
    3. el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
    4. el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
    5. el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
    6. el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

El RGPD en el art. 6 se regula lo que nuestra normativa establecía como excepciones al consentimiento en el art. 6.2 de la LOPD.  De esta manera, comprobamos como no es necesario el consentimiento cuando el mismo es necesario para:

  • La ejecución de un contrato, o lo que antes se denominaba el mantenimiento de una relación negocial, laboral o administrativa.
  • El cumplimiento de una obligación legal. La cual no necesariamente debe ser un acto legislativo adoptado por un parlamento, pero sí debe ser clara precisa y su aplicación previsible para los destinatarios de conformidad con la Jurisprudencia del Tribunal de Justicia de la Unión Europea (en adelante TJUE) y del Tribual Europeo de Derechos Humanos. (Considerando 41 y 45).
  • El cumplimiento intereses públicos, debiendo garantizarse que el tratamiento debe tener su base y finalidad en derecho de la UE o en el de los Estados Miembro ( 6.3 y considerando 45). A este respecto, el RGPD establece en el apartado 2 del art. 6, que, tanto para el cumplimiento de intereses públicos como obligaciones legales, los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del RGPD.
  • Para la protección de intereses vitales del interesado. El considerando 46 establece como ejemplos de intereses vitales y de interés público, aquellos relativos al tratamiento necesario para fines humanitarios (incluido el control de epidemias y su propagación) y situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.
  • Para la satisfacción de un interés legítimo. Se incorpora de forma similar a como se hacía por la directiva 95/46, y por tanto se establece el equilibrio de intereses entre el interesado y el responsable. De tal manera que existirá un interés legítimo por parte de un responsable de tratamiento, (o incluso de un responsable al que se puedan comunicar datos personales), siempre y cuando no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable (considerando 47). Por tanto, si bien el responsable puede realizar un tratamiento de datos sin recabar el consentimiento en virtud del interés legítimo, el interesado también podrá hacer prevalecer sus derechos y libertades a través del ejercicio del derecho de oposición, el cual podrá ser concedido siempre y cuando exista una circunstancia personal que haga prevalecer sus derechos y libertades al derecho del responsable.

Podemos, por tanto, apreciar que de entre las situaciones que permiten el tratamiento lícito de datos sin consentimiento, la satisfacción del interés legítimo es la excepción que mayor indeterminación podrá producir en la aplicación práctica del RGPD, ya que podría recurrirse a la misma como cajón de sastre para la no obtención del consentimiento del interesado en determinadas situaciones en las que el mismo resulta de difícil o imposible obtención. Como hemos visto anteriormente, uno de los mayores cambios que introduce el RGPD con respecto a nuestra normativa de protección de datos es el de la eliminación del consentimiento tácito, siendo por tanto la satisfacción del interés legítimo, un elemento clave para considerar la existencia de un tratamiento de datos sin consentimiento del interesado.

Es por esta razón, por la que el RGPD en sus considerandos 47 a 49 establece ejemplos de cuando podríamos encontramos ante un interés legítimo por parte del responsable, aclarando que siempre habrá que realizar una evaluación meticulosa y aplicar la regla de la expectativa legítima o razonable para la consideración de dicho interés legítimo (dicha regla es establecida por el Grupo de trabajo 29 en Opinión nº 6 de 2014).

Así, en el considerando 47 establece la posibilidad de aplicar el interés legítimo cuando exista una relación pertinente y apropiada entre el interesado y el responsable, como por ejemplo las existentes por éste último con clientes y trabajadores, y además se espere por el interesado de forma razonable que dicho tratamiento tendrá lugar (regla de la expectativa razonable). Como ejemplos hace mención al tratamiento de datos con fines de Martketing Directo, Prevención del Fraude, transmisiones de datos dentro del Grupo Empresarial (considerando 48) y las transmisiones de datos para garantizar la seguridad de las redes (considerando 49).

PREGUNTAS FRECUENTES:

El considerando 47 establece la posibilidad de que el tratamiento de datos se base en el interés legítimo del responsable cuando existe una relación pertinente y apropiada entre interesado y responsable, como por ejemplo en los supuestos en los que el interesado es cliente o está al servicio del responsable. ¿Es posible aplicar este supuesto a los datos personales de proveedores que prestan servicios al responsable

Los considerandos 47 a 49 desarrollan casos en los que podría existir un interés legítimo que permita el tratamiento. Además, ha de tenerse en cuenta que el considerando 47 establece que hay que hacer una evaluación meticulosa y aplicar la regla de la expectativa legítima razonable del informe del grupo de trabajo 29 número 6 del año 2014, por tanto si en la relación con proveedores hay dicha expectativa razonable y una relación pertinente y apropiada, es posible el tratamiento sin recabar dichos consentimientos; pero es preciso hacer hincapié en que no puede constituir una cláusula absoluta para legitimar tratamiento que no pueden ser legitimados por otra vía. También es preciso advertir que, si el interés no se valora correctamente, el responsable se está arriesgando a una fuerte sanción.

7.2 DATOS ESPECIALMENTE PROTEGIDOS

Las categorías especiales de datos se encuentran recogidas en el art. 9 y en los considerandos 51 a 56.

Artículo 9: Tratamiento de categorías especiales de datos personales

  1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.
  2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:
    1. el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;
    2. el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;
    3. el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;
    4. el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;
    5. el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;
    6. el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
    7. el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;
    8. el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;
    9. el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional,
    10. el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1 (Investigación Científica, estadística), sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
  3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h) (Medicina preventiva laboral), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.
  4. Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.

Como vemos el art. 9 mantiene los datos especialmente protegidos por nuestra normativa de protección de datos y añade algunas categorías específicas como el dato genético (antes considerado dato de salud por el RLOPD) el dato biométrico, y la orientación sexual.

De esta manera la categoría de datos especialmente protegidos de nuestra normativa quedaría de la siguiente forma:

  • Ideología = Opiniones políticas.
  • Afiliación Sindical = Afiliación Sindical.
  • Religión = Convicciones religiosas.
  • Creencias = Convicciones filosóficas.
  • Origen racial o étnico = Origen racial o étnico.
  • Salud = Datos relativos a la
  • Origen racial o étnico = Origen racial o étnico.
  • Vida Sexual = Vida Sexual.

Adicionalmente se añade como dato especialmente protegible el Dato Genético, Dato Biométrico, ya comentados anteriormente, y el dato de Orientación sexual.

Como regla general se prohíbe dicho tratamiento salvo que exista un consentimiento explícito por parte del interesado o concurran una serie de circunstancias:

  • Cumplimiento de obligaciones y ejercicios de derechos en el ámbito del Derecho Laboral y de la seguridad y protección social.
  • Protección de Intereses vitales del interesado
  • Tratamiento efectuado en el ámbito de fundaciones o asociaciones cuya finalidad sea política, filosófica, religiosa o sindical.
  • Tratamiento de datos manifiestamente públicos.
  • Tratamientos necesarios para la formulación, ejercicio o defensa de reclamaciones, o tratamientos efectuados por tribunales en el ejercicio de su función judicial.
  • Por razón de interés público en el ámbito de la salud pública.
  • Es necesario con fines de archivo e interés público, fines de investigación científica o histórica o fines estadísticos.

Además, se deja en manos de los Estados miembros la posibilidad de establecer reglas adicionales, o incluso limitaciones, respecto de dichas circunstancias que permiten realizar el tratamiento de datos sensibles.

 

7.3 REFERENCIA ESPECIALES EN LA LICITUD DEL TRATAMIENTO

 

7.3.1 LOS MENORES.

A través del art. 8 y el considerando 38 del RGPD se realiza una especial referencia al tratamiento de datos de niños o menores.

Artículo 8: Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información.

  1. Cuando se aplique el artículo 6, apartado 1, letra a) (Consentimiento), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.

Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.

  1. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.
  2. El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño.

Se considera, por tanto, un consentimiento válido aquel otorgado partir de los 16 años. De tal manera que si el niño es menor de 16 años el tratamiento únicamente será lícito si es autorizado por el titular de la patria potestad o tutela sobre al niño. No obstante, lo anterior, se estable por el art. 8.1 que los Estados Miembros podrán establecer por ley una edad inferior que en todo caso no podrá sobrepasar el límite de los 13 años.

Adicionalmente, el art. 6.2 establece de forma similar a como lo hacía nuestra normativa de protección de datos, que el responsable deberá realizar esfuerzos razonables para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el menor teniendo en cuenta la tecnología disponible.

PREGUNTAS FRECUENTES:

En relación a la edad para prestar consentimiento el Reglamento establece en el art. 8 que se limita la edad a 16 años, si bien únicamente referido a los servicios de la sociedad de información. ¿Implica ello, que fuera de ese supuesto desaparece la capacidad del mayor de 14 años para prestar su consentimiento en el tratamiento de sus datos de carácter personal?

El art. 8.2 se establece que los Estados miembros podrán establecer por ley una edad inferior con el límite de los 13 años, por tanto, todo apunta a que en España se mantendrán los 14 años establecidos por nuestra normativa de protección de datos como edad para prestar el consentimiento en materia de menores.

 

7.3.2 LAS CREDENCIALES DE ACCESO

El tratamiento de datos que no requiere identificación viene regulado en el art.11 y el considerando 57.

Artículo 11: Tratamiento que no requiere identificación

  1. Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el presente Reglamento.
  2. Cuando, en los casos a que se refiere el apartado 1 del presente artículo, el responsable sea capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible. En tales casos no se aplicarán los artículos 15 a 20, (Derechos del interesado) excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos artículos, facilite información adicional que permita su identificación.

El RGPD señala específicamente que pueden existir supuestos en los que los datos personales no permiten identificar a una persona física y que, por tanto, en estos casos no estaría obligado el responsable a obtener información adicional para la identificación del interesado con la única finalidad de cumplir con el RGPD. Pese a no ser una obligación la de identificación del interesado en dichos supuestos, sí estaría obligado a aceptar recibir información adicional que permita la identificación del interesado, si este último quiere ejercitar alguno de los derechos comprendidos en el RGPD entre los art. 15 a 20.

PREGUNTAS FRECUENTES:
El tratamiento de datos  que no me permiten identificar a la persona física, ¿no quedaría fuera del concepto de dato personal? ¿qué obligaciones de identificación recaen sobre el responsable de estos tratamientos? (véanse unas credenciales de acceso sin información adicional).

Los tratamientos de datos que no requieren identificación suelen ser supuestos muy usuales en los que el responsable únicamente conoce del interesado las credenciales de acceso a la plataforma o a la propia web. En estos casos es posible limitar el acceso a la web a través del sistema de usuario y contraseña, no existiendo método alguno para identificar a la persona que está detrás de esas credenciales (por tanto, toda la estadística o comportamiento en la web no puede ser atribuible a una persona física identificable). El RGPD establece a través del art. 11 que el responsable no está obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el presente Reglamento, es decir, no hay un tratamiento de datos como tal debido a que la persona no es identificable.

Sin embargo, si el interesado desea ejercitar sus derechos a que no se traten sus datos y, por tanto, facilita datos de identificación para ejercitar tales derechos, el responsable sí vendría obligado desde ese momento dada la identificación del interesado que provoca que el responsable ya pueda vincular los datos de las credenciales navegación a una determinada persona física identificable.

7.3.3    TRATAMIENTO DE CONDENAS E INFRACCIONES PENALES

Por último, el tratamiento de datos respecto a las condenas e infracciones penales viene regulado en el art.10 del RGPD.

Artículo 10: Tratamiento de datos personales relativos a condenas e infracciones penales

El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas sobre la base del artículo 6, apartado 1 (Licitud en el tratamiento), sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados. Solo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas.

Conforme al art. 10 los tratamientos de datos relativos a condenas e infracciones penales sólo podrán llevarse a cabo bajo supervisión de Autoridad Pública o cuando se autorice por el Derecho de la UE o el Estado miembro.

 

 

CONCLUSIONES

  • Para que exista interés legítimo es necesario realizar una evaluación meticulosa de dicho interés y que exista una expectativa razonable de dicho tratamiento por parte del interesado (como por ejemplo los relativos a tratamientos para la prevención del fraude, marketing directo, transmisión de datos en un Grupo Empresarial, seguridad en redes informáticas etc.)
  • Se introducen nuevas categorías de datos sensibles como los datos biométricos, los datos genéticos y la orientación sexual.
  • Para el tratamiento de datos sensibles es necesario el consentimiento explícito, o encontrarse entre una de las circunstancias establecidas por el art.9 (obligaciones de derecho laboral, interés vital, fundación o asociaciones políticas o religiosas, datos manifiestamente públicos, defensa de reclamaciones e interés público)
  • El límite para el tratamiento de datos de los menores de edad se establece en los 16 años, pudiendo los Estados miembros bajar el mismo hasta el límite de los 13 años.
27
Mar

Reglamento General de Protección de Datos (RGPD) : El Consentimiento

El consentimiento se regula en el art. 6 como uno de los supuestos que legitiman el tratamiento de datos, adicionalmente en el art. 7 se identifican las condiciones en las que debe prestarse el consentimiento y, finalmente en el art. 9 se regula el consentimiento con datos sensibles. También se regula el mismo en los considerandos 32, 40, 42, 43 y 171.

Artículo 6: Licitud del tratamiento

  1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
    1. el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

Artículo 7: Condiciones para el consentimiento

  1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
  2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.
  3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.
  4. Al evaluar si el consentimiento se dio libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

La principal novedad que se introduce en el RGPD con respecto a nuestra normativa, es que el consentimiento debe de consistir en una declaración afirmativa o una clara acción afirmativa para la prestación del mismo, no admitiéndose por tanto el consentimiento tácito.

De esta manera, el consentimiento debe de ser claro de tal forma que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado. Expresamente se indica en el considerando 32 la posibilidad de utilizar casillas para la obtención del mismo, estableciendo que la casilla pre marcada o la inacción no constituye una forma de prestar el consentimiento. Igualmente, también se establece en dicho considerando que cuando existan varios fines para el tratamiento se deberá recabar el consentimiento para todos ellos.

El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

Por tanto, el consentimiento para el tratamiento de datos deberá ser libre, específico, informado e inequívoco, debiendo probar el responsable del tratamiento que el titular de los datos o interesado consintió el tratamiento de los mismos a través de un proceso claro inteligible y de fácil acceso, en el que se utilizó un lenguaje claro y sencillo.

PREGUNTAS FRECUENTES:

Respecto del consentimiento en datos seudonimizados, ¿es necesario recabar consentimiento por parte del responsable si los tratamientos efectuados fuesen sobre datos seudonimizados?

Debemos prestar atención al hecho de que la normativa refleja de modo claro que un dato seudonimizado es un dato personal, circunstancia que no ocurre con los datos anonimizados. En base a ello, efectivamente es necesario recabar ese nuevo consentimiento.

Entre los ejemplos de consentimiento manifestado mediante un acto afirmativo claro, el considerando 32 menciona “escoger parámetros técnicos para la utilización de servicios de la sociedad de la información”. ¿Qué puede entenderse, a efectos prácticos, por esos parámetros técnicos para utilización de servicios de sociedad de la información?

La traducción del RGPD no es estrictamente la más adecuada. En su versión inglesa –choosing technical settings for information society services–  se refiere, por ejemplo, a aquellas situaciones en las que seleccionamos los parámetros de la aplicación o del dispositivo para permitir el acceso a datos personales. De esta manera, si es el interesado es el que los habilita se entiende que se está prestando el consentimiento a que se traten sus datos, ya que en caso contrario no sería considerado un consentimiento válido.

Por tanto, atendiendo a la obligación del Responsable/Encargado de asegurar la privacidad desde el diseño y por defecto, los dispositivos o aplicaciones deberán venir protegiendo la privacidad por defecto y desde el diseño, de tal forma que si se quiere obtener los datos del interesado, el usuario deberá habilitarlo en la configuración del dispositivo o de la aplicación.

En relación con el consentimiento, también debemos tener en cuenta, que no será necesario recabar de nuevo el mismo por el responsable de Tratamiento si la forma en la que se recogió el dato cumple con el RGPD. Efectivamente el considerando 171 establece:

“La Directiva 95/46/CE debe ser derogada por el presente Reglamento. Todo tratamiento ya iniciado en la fecha de aplicación del presente Reglamento debe ajustarse al presente Reglamento en el plazo de dos años a partir de la fecha de su entrada en vigor. Cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento.”

PREGUNTAS FRECUENTES:

Si actualmente el Responsable ha recabado el consentimiento de forma tácita ¿es preciso recabar un nuevo consentimiento de dichos interesados ajustándome a las nuevas especificaciones del RGPD antes de mayo de 2018?

Sí, efectivamente se deberá recabar un nuevo consentimiento ajustándose a las especificaciones marcadas por el RGPD, ya que a partir de mayo en el que será de aplicación directa los consentimientos recabados sin cumplir con las exigencias del RGPD serán ilícitos.

Por otro lado, el consentimiento también será revocable, existiendo el derecho del titular del datos o interesado a retirar dicho consentimiento, el cual deberá ser igual de fácil a la hora de retirarlo que a la hora de darlo o prestarlo. A este respecto, el considerando 42 señala que el consentimiento no será libremente prestado si el interesado no puede retirar el mismo o no goza de una verdadera y libre elección.

“El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.”

Así mismo se presume también por el considerando 43 que, el consentimiento no es válido cuando la prestación del servicio sea dependiente del consentimiento, pese a que este no es necesario para dicho cumplimiento.

“Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, inclusive la prestación de un servicio, sea dependiente del consentimiento, pese a que este no es necesario para dicho cumplimiento.”

EJEMPLOS PRÁCTICOS

SUPUESTO: Se presume por el considerando 43 que el consentimiento no es válido cuando la prestación del servicio sea dependiente del consentimiento, pese a que este no es necesario para dicho cumplimiento.

EJEMPLOS: Apertura de una cuenta corriente donde al aceptar el tratamiento de datos, se acepta facilitar datos sobre preferencias personales, religión, creencias.

Descargas de aplicaciones móviles en donde se obliga a facilitar datos y acceso a funcionalidades del dispositivo, (contactos, galería de fotos y videos, la cámara, etc.) para la descarga de la aplicación, ya que en caso contrario no sería posible la descarga o el funcionamiento de la misma.

El considerando 43 efectivamente establece que si hay un tratamiento de datos completamente distinto del necesario para la prestación de servicio, éste deberá de ser gestionado de forma independiente y debiendo solicitarse el consentimiento de forma separada sin vincular el mismo a la prestación del servicio.

 

PREGUNTAS FRECUENTES:

Si actualmente tengo consentimiento expreso, pero no separados por finalidades ¿he de recabar un nuevo consentimiento de dichos interesados ajustándome a las nuevas especificaciones de cada finalidad tenga su consentimiento separado?

El considerando 43 establece que no es posible vincular un consentimiento para un tratamiento de datos que no tenga que ver con el servicio. Por tanto no solo será necesario recabar consentimientos separados para cada tratamiento no relacionado con la prestación del servicio o el cumplimiento del contrato, sino que también será necesario informar sobre los extremos de dicho tratamiento, pues el interesado tiene derecho a no autorizar dicho tratamiento ya que no es necesario para la prestación del servicio.

Por último, en relación con el consentimiento se establece que el mismo deberá ser explícito en el tratamiento de datos sensibles que revelen origen racial, opiniones políticas, convicción religiosa, afiliación sindical, datos genéticos, biométricos y en general los relativos a la salud, vida sexual y orientación sexual.

Artículo 9: Tratamiento de categorías especiales de datos personales

  1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.
  2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:
    1. el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

PREGUNTAS FRECUENTES:

Si para obtener el consentimiento normal es necesario que el interesado realice una declaración o una clara acción afirmativa ¿qué se precisa para obtener el consentimiento explícito necesario en el tratamiento de datos sensibles?

No necesariamente tiene que ser por escrito, ya que el consentimiento explícito podría ser incluso oral, pero el problema sería más bien de prueba, es decir cómo podemos demostrar que se ha prestado el mismo. También podrá ser electrónico, lo importante es que sea específicamente dado para dicha finalidad y por tanto expresamente se consienta la misma, no puede venir implícito en el acto o en la acción del interesado, debe ser por tanto específico, expreso y explícito.

En la opinión del GT 29 15/2011 se establece que se entiendo por consentimiento explícito o expreso.

Jurídicamente, el término «consentimiento explícito» significa lo mismo que el consentimiento expreso. Abarca todas las situaciones en las que se propone a la persona que consienta o no un uso particular o la difusión de su información personal y la persona responde de forma activa a la pregunta, verbalmente o por escrito. Por lo general, el consentimiento explícito o expreso se da por escrito y se firma a mano. Por ejemplo, se da el consentimiento explícito cuando los interesados firman un formulario de consentimiento que especifica claramente los motivos por los que el responsable del tratamiento desea recopilar y seguir tratando datos personales.

Tradicionalmente, el consentimiento explícito ha sido escrito, en papel o en soporte electrónico, como ya se ha mencionado en el capítulo III.A.2, pero no tiene que ser necesariamente así, ya que también puede ser verbal. Así lo confirma el hecho de que el requisito del consentimiento escrito, que se propuso en el artículo 8, fuera suprimido en la última versión de la Directiva. Ahora bien, como se explica en el mismo capítulo, el consentimiento verbal puede ser difícil de demostrar, por lo que en la práctica se pide a los responsables que utilicen el consentimiento escrito a efectos probatorios.

 

CONCLUSIONES

  • El consentimiento debe de ser una manifestación de voluntad libre.
  • Se debe facilitar tantos consentimientos como finalidades existan en el tratamiento.
  • El consentimiento tácito o casillas pre marcadas no es válido.
  • Tampoco es válido si la prestación del servicio depende del consentimiento.
  • Es necesario consentimiento explícito para datos sensibles.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies