Protección de Datos

La entrada en vigor del Reglamento General de Protección de Datos, el pasado 25 de mayo de 2018, supuso un gran cambio en relación con la relación entre Responsables y Encargados de Tratamiento; desde entonces todos los sectores han tratado de amoldarse a esta nueva forma de configurar las relaciones mercantiles y comerciales en las que existe un acceso a los datos personales de un Responsable, con mayor o menor éxito y dificultad.

Los distintos mediadores de seguros se encuentran en un lugar bastante ambiguo en este sentido: en efecto, actúan como intermediarios entre los consumidores y las empresas aseguradoras, pero no necesariamente colaboran con estas últimas en exclusiva, pudiendo llegar a tomar decisiones propias sobre los datos personales que tienen en su poder dependiendo de la clase de mediador de que se trate.

Así pues, surge la duda: ¿qué régimen es el aplicable a los distintos mediadores de seguros? ¿Son Responsables o Encargados de Tratamiento?

Para resolver esta cuestión debemos establecer una distinción inicial: agentes de seguros (tanto exclusivos como vinculados a varias entidades), por un lado, y corredores, por otro, que cuentan con un grado de libertad mucho mayor.

AGENTES EXCLUSIVOS Y AGENTES VINCULADOS

La característica principal que tienen ambos es que la cartera de clientes no es suya, sino que es la empresa aseguradora quien se las cede para que puedan llevar a cabo sus funciones. Por tanto, en teoría esta relación entre ambas partes parece implicar dos regímenes posibles: o bien el mediador es Encargado de Tratamiento (cuando la toma de decisiones recae sobre la aseguradora) o bien se trata de una relación de corresponsabilidad.

Debido a que generalmente no son los agentes quienes toman decisiones sobre los tratamientos que se realizan sobre los datos personales (ya que éstos pertenecen a las empresas para las que trabajan, y que son quienes toman dichas decisiones) se ha venido entendiendo que los agentes, tanto exclusivos como vinculados, deben ser considerados Encargados de Tratamiento. Por tanto, su relación con aquéllas requeriría la firma de un contrato que la regule, y que cumpla con los mínimos que establecen los artículos 28 del RGPD y 28 y siguientes de la LOPDGDD.

El hecho de que los agentes vinculados puedan tener carteras de distintas empresas aseguradoras no implica, per se, que tengan la capacidad de tomar decisiones relevantes sobre los datos sin la autorización previa del Responsable de cada uno de ellos, debiendo acatar sus instrucciones.

Esta es la posición, de hecho, que sostiene el Proyecto de Ley de Distribución de Seguros y Reaseguros (artículo 77.1.a)). A este respecto se recuerda que, dado que todavía se encuentra en fase de tramitación parlamentaria, puede sufrir modificaciones en su redacción final.

CORREDORES DE SEGUROS

Los corredores de seguros tienen un régimen mucho más claro en este sentido. Ya con la “Guía para el Tratamiento de Datos Personales por parte de las Entidades Aseguradoras” que la UNESPA publicó en enero de 2019 se considera a los corredores como Responsables en todo caso. Efectivamente, dado que las carteras de clientes les pertenecen a ellos y, por tanto, son quienes determinan los usos y tratamientos de los datos personales que contienen, deberán ser considerados Responsables, con todas las obligaciones que esto conlleva -principalmente, la de responsabilidad activa o principio de accountability que implica la obligación de implantar las medidas técnicas, jurídicas y organizativas que garanticen el cumplimiento de la normativa de protección de datos (RGPD y LOPDGDD).

Naturalmente, cuando esos datos sean transmitidos a las empresas aseguradoras para finalizar con el proceso de contratación o gestión de las pólizas, se estará llevando a cabo una cesión de datos, lo que llevará ligado el pertinente deber de información al interesado.

De nuevo, el Proyecto de Ley antes mencionado, en su artículo 77.1.b), también prevé que los corredores de seguros reciban esta consideración.

Podemos concluir por tanto que los Agentes de Seguros serán, en todo caso, Encargados del Tratamiento en beneficio de la empresa o empresas aseguradoras a las que pertenezcan los datos de los clientes, por lo que deberán firmarse los pertinentes contratos de Encargado que exige el RGPD. Por su parte, los Corredores de Seguros sí que se configuran como Responsables de los datos que son facilitados por sus Clientes, y no como Encargados de Tratamiento. En este caso será necesario que las empresas que contraten los servicios de un corredor informen al colectivo implicado (normalmente trabajadores) de la existencia de dichas cesiones de datos para que éstos puedan ejercitar en su caso los derechos de acceso, supresión, oposición, rectificación y portabilidad según lo dispuesto en el RGPD y la LOPDGDD.

Jorge Somolinos
Consultor TIC DPO&itlaw
jorgesomolinos@dpotilaw.com

Aunque la distinción entre Responsable y Encargado del tratamiento en materia de protección de datos parezca clara, en la práctica no ocurre así en todos los casos. Uno de dichos ámbitos en donde más debate ha suscitado dicha distinción, ha sido en el sector del transporte y mensajería. En la prestación de estos servicios, el papel de la empresa de transporte respecto de los datos del destinatario del servicio no queda bien definido, pudiendo actuar como Responsable del dato personal del destinatario o como Encargado del tratamiento de sus clientes que utilizan dicho servicio.

Sobre este aspecto se ha pronunciado la Agencia Española de Protección de Datos (AEPD) en varios Informes. En concreto, podemos destacar un Informe del Gabinete Jurídico en el que la consultante, una empresa de transporte de documentos, requiere para prestar sus servicios los datos del cliente, los datos de origen y de destino que deben ser comunicados por los clientes. La consultante entiende que actúa en su propio nombre en la prestación del servicio de transporte, sin embargo, algunos clientes solicitan formalizar un contrato de Encargado del tratamiento para la actividad del transporte.

Según la AEPD, lo esencial es que el Encargado actúa en nombre y por cuenta del Responsable en el tratamiento de los datos, de modo que la ley estipula la ficción jurídica de que, dado que el encargado no decide los fines y medios del tratamiento, la cesión de datos que en realidad se realiza mediante el encargo, no es tal jurídicamente.

En el sector del transporte y mensajería es importante distinguir, por un lado, los datos personales que vayan dentro del sobre transportado, a los cuales el transportista no tiene acceso, y por otra parte los datos personales de remitente y destinatario, que son los imprescindibles para la ejecución del servicio contratado.

Entiende la AEPD que en estos casos no se produce una actuación como Encargado del tratamiento, sino que se incorporan los datos personales recabados para sus propios fines, y es la empresa quien decide la forma de llevar a cabo el servicio de transporte encomendado. En definitiva, no existiría un encargo del tratamiento sino una cesión de datos, ya que los datos transmitidos son incorporados en la base de datos de la entidad receptora (empresa de mensajería) para que esta proceda a su tratamiento para los fines que le son propios hasta su entrega al destinatario.

Por tanto la cesión a una empresa de mensajería de los datos personales mínimos imprescindibles para la remisión del envío postal sería posible aun no mediando consentimiento de los afectados, siempre que la entidad-cesionario los utilice única y exclusivamente para el pleno cumplimiento de sus obligaciones de transporte, remisión y entrega del envío y no para otros fines. En este sentido, la AEPD también considera acertado la posición del intermediario que asumía el ICO Inglés, que concluye que el prestador del servicio postal no sería ni Responsable ni Encargado del tratamiento para los clientes que usen sus servicios, ya que es un mero intermediario, y no decide sobre los fines o medios del tratamiento de los datos personales incluidos dentro del sobre que se le ha confiado.

A pesar de aceptar la posición de intermediario, la AEPD concluye que las empresas de transporte y mensajería no son Encargados del tratamiento, por lo que no requerirán de un contrato de encargo respecto de los datos personales contenidos en el sobre. Sin embargo, sí que serán Responsables del tratamiento de los datos personales que se le ceden (datos del remitente y del destinatario) para hacer llegar el sobre a destino.

Además, la ley parece establecer unas obligaciones específicas en materia de protección de datos al operador postal que no casan bien con la figura del Encargado del tratamiento. En este sentido, la Ley 43/2010, de 30 de diciembre, del servicio postal universal, de los derechos de los usuarios y del mercado postal, establece unas obligaciones respecto del envío, que incluye tanto la confidencialidad de su contenido, en un sentido amplio, como la protección de los datos personales que se han confiado al operador postal para la realización de su labor. Si fuera un verdadero Encargado del tratamiento dichas obligaciones de protección de datos habría que imponérselas al remitente, que sería quien le ha realizado el encargo de transportar el documento al destinatario.

En conclusión, tanto de los principios generales que se derivan de la normativa de protección de datos como de los preceptos propios de la normativa postal, concluye la AEPD que las empresas de transporte y mensajería no serían un Encargado del tratamiento respecto del remitente, sino que son Responsables del tratamiento de los datos personales de remitente y destinatario que se le han confiado para el ejercicio de su tarea. En consecuencia, será recomendable por parte de las empresas usuarios de los servicios de mensajería informar en las correspondientes cláusulas de información con los clientes, proveedores y trabajadores, de la posible existencia de dichas cesiones de sus datos a empresas de mensajería o trasporte, de forma que éstos puedan ejercitar en su caso los derechos de acceso, supresión, oposición, rectificación y cancelación según lo dispuesto en el RGPD y la LOPDGDD ante las correspondientes empresas de mensajería o transporte.

Alina Nastasache
Abogada TIC DPO&itlaw
alinastasache@dpotilaw.com

Con fecha 22 de noviembre de 2019 el Comité de Representantes Permanentes de los Gobiernos de los Estados Miembros de la Unión Europea (COREPER) ha rechazado el texto del proyecto del Reglamento e-privacy sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas.

La UE, que pretendía aplicar al unísono del Reglamento General de Protección de Datos (RGPD) y el Reglamento e-privacy, deja en suspenso la armonización legislativa necesaria para la conformación del Mercado Único Digital europeo.

Tras más de dos años de negociaciones el Consejo Europeo se rechazado su propio texto, posicionándose, por el momento, del lado de la industria ante una propuesta de Reglamento que colisiona con el modelo de negocio de no pocas compañías tecnológicas.

Se queda, por tanto, a la espera de que la Comisión retire la propuesta o de que, tras la asunción de la presidencia el próximo 1 de enero por parte de Croacia, se determine si se estima oportuno retomar las negociaciones en un escenario en el que la UE debería posicionarse antes de buscar un consenso con la Comisión y el Parlamento.

La propuesta del Reglamento e-privacy surge como consecuencia de la evolución tecnológica habida desde 2009, año en que se revisó la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas, al ponerse de manifiesto la necesidad de dotar de seguridad jurídica el tratamiento de datos de consumidores y empresas que hacen uso de los servicios en línea que permiten las comunicaciones interpersonales, conocidos como servicios OTT (Over-the-Top): voz sobre IP como Skype, mensajería instantánea como Whatsapp y correo electrónico; así como la protección contra el seguimiento de los hábitos los usuarios en línea.

Entre otros aspectos regulados por el Reglamento destacan los concernientes al modelo de negocio de la industria la industria publicitaria.

E-privacy reduce las bases legitimadoras del tratamiento de datos de carácter personal previstas por el RGPD dejando una sola posibilidad, la obtención del consentimiento previo del usuario. Su aplicación tal y como estaba concebido acarreaba dificultades para el modelo de negocio de la industria generadora de ingresos mediante la oferta de servicios gratuitos a cambio de publicidad que sólo sería viable con el consentimiento explícito del usuario. Usuario que, a su vez, podría verse en situación de tener que registrarse y pagar por servicios que actualmente son gratuitos.

En lo que al uso de cookies se refiere, su propuesta impone la necesidad de que sea el usuario quien determine la aceptación o el rechazo de las mismas de forma masiva al tener que prestar su consentimiento mediante la configuración de su navegador, sin saber exactamente para que lo presta, quitándole la posibilidad de elegir libremente los editores a los que autoriza o rechaza para la instalación de las mismas en su terminal y viéndose perjudicada la posibilidad de ejercitar sus derechos ante los mismos. Ante la incertidumbre sobre el futuro de la aplicación del Reglamento e-privacy recientemente la Agencia Española de Protección de Datos recordaba en su nueva Guía sobre el uso de cookies que ésta podría ser modificada tras la aprobación del mismo.

Por su parte, los editores y resto de actores intervinientes en el ecosistema del marketing digital verían mermados sus ingresos publicitarios al dejarse la relación directa con los usuarios en manos de unos pocos fabricantes de software y por ende mermando su posibilidad de ofrecer servicios de forma personalizada.

Por otra parte, es destacable que una regulación excesivamente restrictiva por parte del Reglamento en lo que respecta a la confidencialidad de las comunicaciones entre máquinas (M2M) coartaría la maduración tecnológica del Internet de las cosas (IoT), viéndose afectada la estrategia adoptada en abril de 2018 por la Comisión para fomentar el desarrollo y la utilización de la Inteligencia Artificial (IA) a fin de asegurarse una posición preponderante en este campo con unas inversiones públicas y privadas previstas de al menos 20 000 millones de euros antes de finales de 2020.

Esperemos que próximamente y se retomen las negociaciones para lograr alcanzar un consenso que permita obtener soluciones satisfactorias para todos los actores implicados, sin menoscabo del desarrollo de las nuevas tecnologías.

Gonzalo de la Cruz

Abogado Asociado Senior

El Ministerio de Justicia abre el periodo de información pública al Anteproyecto de la Ley Orgánica de Protección de Datos de Carácter Personal.

La descarga de la nueva versión del texto del Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal se encuentra aquí ()

Os hemos incluido la nueva versión v2 en Word con control de cambios para que podamos ir apreciando los cambios que va introduciendo el Legislador en su trámite parlamentario. Para el acceso al la versión 2 descargar aquí ( descargar documento ).

La información sobre los trámites de audiencia e información pública se encuentran aquí.

Esperemos os sea de utilidad.

Anteproyecto de Ley Orgánica de Protección de Datos LOPD Junio 2017 (versión 2)

Descargar documento

El pasado 24 de junio a propuesta del ministro de Justicia, Rafael Catalá, el Consejo de Ministros ha impulsado el anteproyecto de Ley Orgánica de Protección de Datos con el fin de mejorar la regulación de la protección de datos de carácter personal y adaptar la legislación española a las disposiciones contenidas en el RGPD (Reglamento UE 2016/679) antes de su definitiva entrada en vigor fijada para el próximo 25 de mayo de 2018.

En DPO&itlaw hemos podido acceder al texto que con tanto secretismo se ha estado confeccionando. Actualmente está accesible en el siguiente enlace del Diario la Ley  ( descargar documento), no obstante os hemos habilitado en nuestro Blog un espacio para que os lo podáis descargar en formato Word y podáis trabajarlo y editarlo correctamente en vuestro trabajo diario. Anteproyecto LOPD

Conforme el considerando IV el Anteproyecto se estructura de la siguiente manera:

ESTRUCTURA DE LA LOPD

Consta de 78 artículos estructurados en 8 títulos, 10 disposiciones adicionales, 5 disposiciones transitorias, 1 disposición derogatoria única y 7 disposiciones finales.

De entre los 8 títulos destacan los siguientes:

El Título I. Disposiciones generales.

Comienza regulando el objeto de la ley orgánica, que no es otro que la adaptación del ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, Reglamento general de protección de datos, y completar sus disposiciones. A su vez, establece que el derecho fundamental de las personas físicas a la protección de datos de carácter personal, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.

Destaca la novedosa regulación de los datos referidos a las personas fallecidas, pues, tras excluir del ámbito de aplicación de la ley su tratamiento, se permite que los herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido, que por lo demás se podrán incorporar a un registro. También excluye del ámbito de aplicación los tratamientos que se rijan por disposiciones específicas, en referencia, entre otras, a la normativa que transponga la citada Directiva (UE) 2016/680, previéndose en la disposición transitoria quinta la vigencia de estos tratamientos con arreglo a la Ley Orgánica 15/1999 hasta que se apruebe la citada normativa.

El Título II. Principios de protección de datos.

Se presumen exactos y actualizados los datos obtenidos directamente del propio afectado y se recoge expresamente el deber de confidencialidad, se regulan garantías específicas y se aplica el principio de minimización de datos para entender desproporcionado el tratamiento de los datos por quien carezca de competencia. Dentro de lo que se viene denominando la “legitimación para el tratamiento”, se alude específicamente al consentimiento, que ha de proceder de una declaración o de una clara acción afirmativa del afectado, excluyendo lo que se conocía como “consentimiento tácito”, se permite la casilla no premarcada en el ámbito de la negociación o formalización de un contrato, y se fija la edad a partir de la cual el menor puede prestar su consentimiento en trece años para asimilar el sistema español al de otros Estados de nuestro entorno.

Se regulan asimismo las posibles habilitaciones legales para el tratamiento que se derive del ejercicio de potestades públicas o del cumplimiento de una obligación legal y se prevé que el interés legítimo de un determinado responsable o de un determinado tercero pueda prevalecer sobre el derecho a la protección de datos del afectado. Y se mantiene la prohibición de llevar a cabo tratamientos con la única finalidad de almacenar información referida a las categorías de datos especialmente protegidos.

En el Capítulo II del Título I se recogen “Disposiciones aplicables a tratamientos concretos”, que son los supuestos antes sometidos a regímenes especiales, en los que se considera de aplicación la regla del equilibrio de intereses o ponderación del interés legítimo como base jurídica para el tratamiento. En segundo lugar, figuran las categorías que ya eran objeto de una regulación específica, legal o reglamentaria, como los sistemas de información crediticia, complementado por una disposición adicional, los tratamientos realizados con fines de videovigilancia y los sistemas de exclusión publicitaria comúnmente denominados “listas Robinson”, los tratamientos llevados a cabo en el ámbito de la función estadística pública o, como novedad, los sistemas de información de denuncias internas en el sector privado.

El Título III Los derechos de las personas.

Adapta al Derecho español el principio de transparencia en el tratamiento del reglamento europeo, que regula el derecho de los afectados a ser informados acerca del tratamiento, se recoge la denominada “información por capas” ya generalmente aceptada en ámbitos como el de la videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales como las “cookies”).

Se hace uso en este título de la habilitación permitida por el considerando 8 del Reglamento (UE) 2016/679 para complementar su régimen, garantizando la adecuada estructura sistemática del texto. A continuación, la ley orgánica contempla los derechos de Acceso, Rectificación, Supresión, Oposición, derecho a la Limitación del tratamiento y derecho a la Portabilidad. La obligación de bloqueo garantiza la adecuada aplicación y supervisión del cumplimiento de las normas de protección de datos.

El Título IV. El Responsable y el Encargado del tratamiento.

Es preciso tener en cuenta que la mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan. Con el fin de aclarar estas novedades, la ley orgánica mantiene la misma denominación del Capítulo IV del Reglamento, dividiendo el articulado en cuatro capítulos dedicados, respectivamente, a: las medidas generales de responsabilidad activa, al régimen del encargado del tratamiento, a la figura del delegado de protección de datos y a los mecanismos de autorregulación y certificación.

La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la ley orgánica, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica. La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente. La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona. Los conocimientos en la materia se podrán acreditar mediante esquemas de certificación. El responsable o el encargado deberán dotar al delegado de medios materiales y personales suficientes y no podrán removerle, salvo en los supuestos de dolo o negligencia grave. Es de destacar que el delegado de protección de datos permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento. 

Así mismo dentro de los 78 artículos podemos encontrar las siguientes novedades.

1. No será necesario solicitar el consentimiento para los ficheros de contactoprofesionales en base al interés legítimo, no obstante sí es será necesario informar.

Artículo 12. Tratamiento de datos de contacto y de empresarios individuales.

1. Se entenderá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:
   1. Que el tratamiento se refiera únicamente a los mínimos datos imprescindibles para su localización profesional.
   2. Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
2. El mismo amparo legal tendrá el tratamiento de los datos relativos a los empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.

2. Otra novedad que introduce el Anteproyecto es que las las Camaras de videovigilancia puedan captar la vía pública siempre y cuando su finalidad sea preservar las seguridad de las personas y bines de la empresa.

Artículo 15. Tratamientos con fines de videovigilancia.

1. Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones.
2. Sólo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior. 
   No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte. 
   Respecto a la Portabilidad de los datos solo es necesario respecto de los datos facilitados y generados, NO a los datos inferidos utilizando estos últimos.

3. En relación con el derechos de portabilidad se aclara que los datos que deben de ser objeto de portabilidad serán aquellos que haya facilitado el usuario y hayan sido generados durante la prestación del servicios, pero no se facilitarán los datos que el responsable haya inferido de éstos últimos, los cuales en todo caso podrán someterse al derecho de acceso, rectificación o surpresión.

Artículo 27. Derecho a la portabilidad.

1. El derecho a la portabilidad regulado en el artículo 20 del Reglamento (UE) 2016/679 podrá ejercerse por el afectado respecto de los datos que hubiera facilitado al responsable del tratamiento y de los que se deriven directamente del uso por aquél de los servicios prestados por el responsable.
2. El derecho a la portabilidad no se extenderá a los datos que el responsable hubiere inferido a partir de aquellos a los que se refiere el apartado anterior. En todo caso, el afectado podrá ejercer respecto de estos datos los restantes derechos enumerados en este capítulo, particularmente el derecho de acceso contemplado en el artículo 15 del Reglamento (UE) 2016/679.

4. A pesar de que el RGPD no habla del bloqueo de datos, salvo en algunos casos o supuestos en los que hace referencia a mantener los para la defensa del Responsableo, el Anteproyecto expresamente y con muy buen criterio permite el bloqueo de datos 

Artículo 29. Bloqueo de los datos.

1. El responsable del tratamiento estará obligado a bloquear los datos en los casos previstos en los artículos 16 y 17.1 a), d) y e) del Reglamento (UE) 2016/679, así como cuando deba proceder de oficio a su rectificación o supresión.
2. Los datos bloqueados quedarán a disposición exclusiva del tribunal, el Ministerio Fiscal u otras Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de las mismas.
3. Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada en el apartado anterior.
4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus mpetencias, podrán fijar excepciones a la obligación de bloqueo establecida en este artículo.

5. Se identifica en el art. 35 con nombres y apellidos a aquellas organizaciones que necesariamente deberán nombrar a un DPO, facilitando enormemente la labor de interpretación del RGPD, que a pesar de haber sido aclarada por el GT 29 seguía presentando muchas dudas.

Artículo 35. Designación de un delegado de protección de datos.

1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679. A tal efecto, se consideran incluidas en dichos supuestos, en todo caso, las siguientes entidades:
   1. Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
   2. Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
   3. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones.
   4. Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos.
   5. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
   6. Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
   7. Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
   8. Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
   9. Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
   10. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
   11. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
   12. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
   13. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
   14. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
   15. Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.

6. Por último conviene destacar también los supuestos en los que sería necesaria la emisión de un informe de Evaluación de Impacto:

Artículo 30. Obligaciones generales del responsable y encargado del tratamiento.

1. Los responsables y encargados, tras ponderar los riesgos que el tratamiento pueda generar en los derechos de los afectados y en particular en su derecho a la protección de datos, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el Reglamento (UE) 2016/679, con la presente ley orgánica, la legislación sectorial y sus normas de desarrollo. En particular valorarán si proceder la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3a del Capítulo IV del citado reglamento.
2. Para la adopción de las medidas a que se refiere el apartado anterior los responsables y encargados del tratamiento tendrán en cuenta, en particular, los mayores riesgos que podrían producirse en los siguientes supuestos:
   1. Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
   2. Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.
   3. Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento(UE) 2016/679 y 10 y 11 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas.
   4. Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.
   5. Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad para las que se hubiesen establecido medidas de apoyo.
   6. Cuando se produzca un tratamiento masivo que afecte a un gran número de afectados o implique la recogida de una gran cantidad de datos personales.

Anteproyecto de Ley Orgánica de Protección de Datos LOPD Junio 2017

Descargar documento

Fernando Ramos Suárez, socio director de DPO & IT Law, participó como ponente en la mesa redonda donde se trataron las novedades que incorpora el Nuevo Reglamento de Protección de Datos, dentro del II Congreso de la Abogacía Madrileña.

En la mesa de protección de datos para abogados se abordaron las novedades del Reglamento Europeo de Protección de Datos que serán de aplicación a partir de mayo de 2018 y su aplicación práctica al entorno de los despachos de abogados. Los mesa estaba formada por:

• Ponente: Fernando Ramos Suárez. Abogado Experto en protección de datos.
• Ponente: Antonio Muñoz Marcos. Abogado. Legal Counsel Telefónica Digital (CCDO).
• Ponente: Asier Crespo González. Abogado. Legal Director-Spain & Portugal en Microsoft.
• Moderadora: Paula Ortiz López. Abogada. Directora Jurídica y de Relaciones Institucionales en Interactive Advertising Bureau Spain.

El evento tuvo una gran afluencia y gran demanda entre el público asistente al Congreso. Así lo atestigua la imagen instantánea tomada por la abogada Paloma Llaneza y colgada en su twitter personal.

Entrada actualizada el día 12 de enero de 2016 con los enlaces a los textos aprobados publicados:

•  del Reglamento de Protección de Datos
•  de la Propuesta de Directiva para la prevención e investigación de delitos

El 15 de diciembre se ha alcanzado un acuerdo en el Parlamento Europeo y el Consejo, sobre el Reglamento Europeo de Protección de Datos (RPD) que inició la Comisión Europea en enero de 2012.

El RPD pondrá fin al mosaico de normas de protección de datos que existe actualmente en la UE.

El Reglamento General de Protección de Datos permitirá a los ciudadanos europeos  un mayor control sobre el tratamiento que terceros realicen sobre sus datos personales. Al mismo tiempo, permitirá a las empresas obtener el máximo provecho de las oportunidades del mercado único digital mediante la reducción de la burocracia y mayor confianza del consumidor en el mercado digital.

La nueva normativa permitirá a los ciudadanos europeos:

• Un mejor acceso del ciudadano a sus datos personales: las personas tendrán más información sobre cómo se tratan sus datos y esta información debe estar disponible en una forma clara y comprensible;

• Derecho a la portabilidad de datos: el ciudadano europeo podrá transferir sus datos personales entre los distintos proveedores de servicios, sin necesidad de volver a introducir sus datos;

• Derecho al olvido: Siempre que no existan motivos legítimos para mantener el tratamiento de datos, el ciudadano europeo tendrá el derecho a que sus datos sean borrados;

• Derecho a conocer quiebras en las seguridad: Las empresas deberán notificar a la Autoridades Nacionales de Protección de Datos ( en nuestro caso la Agencia Española de Protección de Datos) las quiebras de seguridad que afecten al tratamiento de datos personales.

Por otro lado al unificar las normas europeas permitirá a las empresas:

• Un continente, una sola ley: El reglamento establecerá un único conjunto de reglas que supondrá para las empresas que quieran hacer negocios en Europa una mayor sencillez de cumplimiento de dicha normativa.

• Una ventanilla única: las empresas sólo tendrán que hacer frente a una Autoridad única de supervisión.

• Aplicación de la normativa a las Empresas Extranjeras: las empresas con sede fuera de Europa tendrán que aplicar las mismas reglas cuando ofrezcan servicios en la UE.

• Enfoque basado en el riesgo: la normativa permitirán la adecuación de la empresa en función del riesgo en el tratamiento.

• Normativa adecuada para la innovación: el reglamento garantizará la integración de la protección de datos en productos y servicios desde las primeras etapas del desarrollo (Protección de Datos por diseño). Se promocionarán las técnicas para anonimizar o  disociar el datos personal, para una mayor protección de la privacidad.

La reforma de la protección de datos va a estimular el crecimiento económico mediante la reducción de costes y la burocracia para las empresas europeas, especialmente para las pequeñas y medianas empresas (PYME) que se beneficiarán de:

• No serán necesarias las notificaciones a las Autoridades de Supervisión: Las formalidades para las notificaciones a las autoridades de control desaparecen.

• Limitaciones al ejercicio de derechos de Acceso infundados o excesivos: cuando las solicitudes de derechos de acceso son manifiestamente infundadas o excesivas, las PYMEs podrán cobrar una cuota por facilitar dicho acceso.

• Los Responsables de Protección de Datos: las PYMEs están exentas de la obligación de designar a un Responsable de protección de datos en la medida en que el tratamiento de datos no sea su actividad principal.

• Evaluaciones de Impacto: las PYMEs no tendrá obligación de realizar una evaluación del impacto en materia de protección de datos a menos que exista un riesgo elevado para el tratamiento.

En definitiva, existirá una mayor protección de datos para los ciudadanos europeos, ya que todo  tratamiento de datos realizado en la Unión Europea deberá respetar los principios de necesidad, proporcionalidad y legalidad. Además el cumplimiento de dichos principios estará supervisado por las Autoridades Nacionales de Control de Protección de Datos, así como por los correspondientes órganos judiciales.

Próximos pasos

Tras el acuerdo político alcanzado por el Parlamento y el Consejo, los textos finales serán adoptados formalmente por el Parlamento Europeo y el Consejo a principios de 2016, existiendo a partir de entonces con un periodo de transición de dos años para el efectivo cumplimiento de la normativa.  Durante dicho periodo la Comisión trabajará en estrecha colaboración con las Autoridades nacionales de Protección de Datos de los Estados miembros para garantizar una aplicación uniforme de la nueva normativa en la Unión Europea.

Hoy en día muchas empresas utilizan los avances tecnológicos para el control de las herramientas de trabajo facilitadas a sus trabajadores. Entre dichas medidas, en la actualidad está en auge el uso de herramientas de geolocalización, de manera que el empresario pueda georeferenciar y conocer la localización, tanto de bienes propiedad de la empresa, como de trabajadores.

El problema jurídico  al que  nos enfrenamos con el uso de este tipo de herramientas, es que el acceso que se realiza a  los datos de geolocalización se considera como un tratamiento de datos de carácter personal, por lo que le será de plena aplicación la aplicación la normativa de protección de datos.

La primera definición de datos de localización viene establecida por la Directiva 2002/58/CE, que en su artículo 2, define los datos de localización como “cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal del usuario de un servicio de comunicaciones electrónicas disponible para el público”, definición que se recoge igualmente en el artículo 64.b) del Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios.

Dado que los datos de localización se refieren siempre a una persona física identificada o identificable, constituyen un tratamiento de datos personales que no necesitaría consentimiento del trabajador ya que dicho tratamiento se realiza para la gestión de la relación laboral, por tanto no sería necesario solicitar el consentimiento para dicho tratamiento de datos aunque sí sería necesario informarle del mismo conforme el art.5 de la LOPD. En este sentido, se debe poner especial atención por parte del empresario en aquellos casos en los que la geolocalización revele información no concerniente a la actividad laboral, y evitar así la  vulneración del derecho fundamental de sus trabajadores en materia de protección de datos,. Sería por tanto de suma importancia realizar un tratamiento de datos  conforme al principio de proporcionalidad desarrollado en el artículo 4.1 de la Ley Orgánica de Protección de Datos (LOPD), es decir que los mismos sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades para las que se hayan obtenido.

En relación con el dercho fundamental a la protección de datos en  laSentencia 186/2001 del Tribunal Supremo, se establece que ningún derecho fundamental es absoluto “pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél deba de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho”. En dicho sentido, la misma sentencia indica que “…el artículo 20 del Estatuto de los Trabajadores, atribuye al empresario, entre otras facultades, la de adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento del trabajador de sus obligaciones laborales…”. Así mismo, indica que dicha facultad debe producirse, lógicamente, dentro del debido respeto a la dignidad del trabajador.

El Tribunal Constitucional además ha venido manteniendo que la limitación de los derechos fundamentales del trabajador por parte de las facultades empresariales sólo puede derivarse del hecho de que la propia naturaleza del trabajo contratado implique la restricción del derecho. Además, indica que la constitucionalidad de cualquier medida restrictiva de derechos fundamentales viene determinada por la observancia estricta del principio de proporcionalidad, que no será vulnerado si cumple los siguientes requisitos:

1. Juicio de idoneidad: si la medida es susceptible de conseguir el objetivo propuesto.
2. Juicio de necesidad: si es necesaria en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia.
3. Juicio de proporcionalidad en sentido estricto: si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.

Para determinación de la proporcionalidad del tratamiento de los datos de localización de los empleados, debe analizarse caso por caso, valorando las distintas situaciones concretas a las que se enfrenta el empresario para determinar si se justifica el tratamiento. De acuerdo con este principio, se entiende que bajo ningún concepto la empresa debe recoger datos de localización de un empleado fuera de la jornada laboral, debiéndose dotar a los equipos y vehículos susceptibles de georeferenciación, de un sistema que permita la desactivación de la función de su localización para supuestos de uso con fines privados.

Así mismo, hay que tener en cuenta que los datos de localización de los empleados deberán conservarse tanto tiempo como se considere oportuno en función de la finalidad que se haya dado como justificación para dicho tratamiento.

Por último, en relación con las medidas de seguridad aplicables a los datos de localización, al tratarse de datos responsabilidad de operadores que prestan servicios de comunicaciones electrónicas disponibles al público o que explotan redes públicas de comunicaciones electrónicas, además de las medidas de seguridad de nivel básico y medio, deberá aplicarse la medida de seguridad de nivel alto del artículo 103 del Reglamento de desarrollo de la LOPD. Es decir, será necesario implantar un registro de accesos a dichos datos, de manera que de cada intento de acceso se guarde, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado y en el caso de que haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

Como conclusión, podemos indicar que el tratamiento de datos de geolocalización estará justificado siempre y cuando dicho tratamiento sea proporcionado a la finalidad que lo motiva, no obstante lo anterior será necesario analizar caso por caso, para comprobar que no existe una medida menos restrictiva para la consecución del fin que motiva su establecimiento.

La Nueva regulación sobre Protección de datos desarrollada por la Unión Europea, tendrá una aplicación directa sobre las todas las organizaciones europeas y extranjeras con sede en Europa, o aquellas que pese a no tener sede en Europa deseen que sus productos y servicios tengan como destinatario al ciudadano Europeo.  Se pretende por tanto lograr una armonización de la normativa de protección de datos tanto en los Países de la Unión como en aquellos países extranjeros que deseen comercializar sus productos y servicios en los estados de la Unión.

Esta nueva normativa de protección de datos, supone para la empresa europea la introducción e implantación de normas internas de gobierno corporativo enfocadas a la gestión de riesgos y el cumplimiento en materia de protección de datos. Conceptos como Accountability, Privacy by design, Privacy by Default and Privacy Impact Asessment implican una reconsideración interna de los procesos empresariales, los cuales deberán incluir aspectos sobre privacidad y protección de datos para un correcto cumplimiento de la Nueva normativa europea.

Aspectos tan novedosos como el delegado de Protección de Datos, la necesidad de realizar consultas previas a la Autoridad de Protección de Datos, las certificaciones orientadas a la privacidad, las notificaciones de violaciones de seguridad, el derecho al olvido, la portabilidad de datos, así como otros cambios sustanciales en el ámbito de aplicación y procedimiento sancionador suponen un verdadero cambio estructural del negocio, que implicará una adecuada preparación y concienciación de la empresa. Aquellos países como España, en donde existe una cultura y conocimiento de la protección de datos gracias a las normas publicadas desde el año 1992 (LORTAD, LOPD, RMS y RLOPD), o Francia y Alemania, en donde también existe una concienciación sobre la privacidad y derecho a la protección de datos, estarán mejor preparados para la absorción de dicha normativa e implantación nacional.

La propuesta del reglamento fue publicada por la Comisión el pasado 25 de enero de 2012. Actualmente la regulación se encuentra en proceso de revisión por el parlamento Europeo y el Consejo, proceso que puede durar hasta el año 2014-2015. Durante dicho proceso se están produciendo distintas aportaciones como por ejemplo la del  Eurodiputado Jan Philipp Albrecht que presentó un informe con 350 modificaciones para adoptar medidas más estrictas a las previamente propuestas por la Comisión.  También a considerar las enmiendas introducidas por Articulo 29 Working Party que aportan un mayor fortalecimiento de la normativa de protección de datos.

Al otro lado del Atlántico la reacción no se ha hecho esperar. Empresas del sector TIC como Amazon, eBay y American Chamber of Commerce entre otros, están introduciendo a través de lobbies distintas propuestas de modificación de la normativa propuesta. El escándalo ha saltado recientemente por la queja del Europe v Facebook grupe, que denuncia la introducción de dichas enmiendas por los parlamentarios europeos palabra por palabra.

Recientemente diplomáticos Estadounidenses han declarado la propuesta europea como una normativa de colonialismo europeo o guerra de comercio, ya que la misma debe ser cumplida no sólo por las organizaciones europeas sino por cualquier organización no europea que trate datos personales  de ciudadanos europeos para la comercialización de productos y servicios.

Lo que sí parece claro es que el proceso de reforma es imparable y en palabras de la Vicepresidenta de la Comisión Viviane Reading, en el segundo congreso anual de Cloud Computing celebrado el pasado 7 de marzo

La Guerra de los lobbies por tanto no ha hecho más que empezar en la tramitación de la nueva normativa de protección de datos, el conflicto de intereses está servido, sólo queda esperar y comprobar quién habrá conseguido incorporar sus enmiendas que o bien dulcifiquen determinadas medidas propuestas como el derecho al olvido, el consentimiento expreso o bien consigan un mayor fortalecimiento de la protección de datos como un derecho  fundamental del ciudadano europeo.