Nuestro Blog

El Registro de Actividades de Tratamiento  24-04-2018
La aplicación del nuevo Reglamento General de Protección de Datos confiere al responsable diferentes obligaciones en materia de protección de datos, como establece en su artículo 30, estipulándole la necesidad de llevar a cabo un registro de actividades de tratamiento bajo su actividad en el cual deberá reflejar la tipología de datos que recoge, con qué fines los trata, a quién o a quienes los comunica, si los difunde a terceros, y qué medidas implementa para garantizar su seguridad.

En esa misma línea se expresa el artículo 31 del Proyecto de Ley de Protección de Datos. Nos indica que es el responsable de protección de datos de la empresa, o sus representantes quienes deberán mantener el registro de actividades de tratamiento tal y como lo expresa el artículo 30 del RGPD, salvo que sea de aplicación a la excepción prevista. Es más, este artículo, el 31, del Proyecto de Ley de Protección de Datos, recoge que los registros han de organizarse en conjuntos estructurados de datos que especifiquen sus finalidades; confiriendo a los responsables de los ficheros como dice en su artículo 77.1 la necesidad de hacer un inventario de sus actividades de tratamiento, accesible por medios electrónicos en el que contará la información establecida en el artículo 30 del RGPD.

Además de describir como han de ser los ficheros y quién ha de custodiarlos, el Reglamento Europeo de Protección de Datos en su artículo 82 nos habla de la responsabilidad de las actividades del tratamiento de datos para el responsable, obligándolos en todo momento a colaborar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros de modo que estas puedan supervisar las operaciones de tratamiento.

Según la AEPD (Asociación Española de Protección de Datos) hay dos posibilidades de organizar el registro de actividades de tratamiento. Una primera: a partir de los ficheros que actualmente tienen notificados los responsables en el registro general de protección de datos. Y una segunda en torno a operaciones de tratamientos concretos vinculados a una finalidad básica común a todas ellas o con arreglo a otros criterios diferentes. Este registro de actividad viene a sustituir la antigua obligación de inscribir ficheros no obstante, en los siguientes casos:

Cuando una empresa u organización tiene más de 250 trabajadores.
Cuando realizas tratamientos que pueden ocasionar un riesgo para los derechos y libertades de los interesados o incluya categorías especiales de datos o aquellos relativos a condenas de infracciones.
Si se realizan tratamientos que no sean ocasionales.
La generación del registro de actividades de tratamiento es necesario porque:

El mantenimiento de un registro sustituye la obligación de notificarlo a la AEPD
El mantenimiento adecuado del registro permitirá al administrador de datos demostrar que sus procesos de tratamiento de datos cumplen con los principios establecidos por el Reglamento
Se hace hincapié en la responsabilidad de la entidad procesada permitiéndonos controlar y garantizar su propio cumplimiento de las obligaciones legales
El registro de proceso es una herramienta valiosa para garantizar el cumplimiento.
Para terminar, recordaremos que es de obligatoriedad en función de la Ley el registro de actividades cuyo responsable tendrá que cumplir con los requisitos que le confiere el artículo 30 del RGPD, quién además estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones. Desde Aemol Consulting, advertimos que el nuevo Reglamento otorga amplias funciones al DPO, y a la vez; nos indican que el DPO se convierte en el pilar fundamental que garantiza y protege la privacidad y seguridad de los datos responsabilidad de la empresa.

Más poder del usuario y transparencia con la nueva ley de protección de datos  20-04-2018
A finales de mayo entrará en vigor el Reglamento General de Protección de Datos (RGPD), herramienta fundamental para que los usuarios puedan preservar, controlar y gestionar sus datos personales en manos de las empresas. Una nueva medida que aplauden compañías como la recomendadora tecnológica adaptada al consumidor, Y si…, porque da más poder al ciudadano y plantea un escenario empresarial más transparente.
Por lo general, los internautas no se sienten seguros cuando registran sus datos personales en páginas web o redes sociales. Y existen ejemplos que no ayudan a evitarlo. El último caso en salir a la luz ha sido el de Facebook (Vid. Facebook no ha hecho sus deberes), al que la consultora Cambridge Analytica robó información de 270.000 personas mediante una encuesta en la red supuestamente con fines académicos para después obtener los perfiles de personalidad de más de 50 millones de personas para utilizarlos en la campaña de Donald Trump en su conquista de la Casa Blanca. No es el único. Uber reconoció hace dos años que se produjo la filtración de información de cerca de 57 millones de clientes en su plataforma.

La protección de datos se ha convertido en un asunto de estado en cualquier lugar del mundo. Para proteger la privacidad del usuario, a finales de mayo entrará en vigor el denominado Reglamento General de Protección de Datos (RGPD), que sustituirá en vigencia a la actual Ley Orgánica de Protección de Datos (LOPD).
¿Qué significa esto? Básicamente, Internet va a cambiar porque se modifican las condiciones de servicio entre el usuario y la empresa, afectando esencialmente a las condiciones de uso, la privacidad y la política de cookies.

En cuanto entre en vigor, el consumidor se verá más respaldado gracias al nuevo reglamento. Su principal arma es la introducción del derecho al olvido, es decir, la potestad de solicitar que los datos personales sean suprimidos cuando ya no sean necesarios para la finalidad con la que fueron recogidos, se haya retirado el consentimiento o incluso se hayan recogido de forma ilícita.
A esta jurisprudencia hay que sumarle el derecho a la portabilidad, el derecho al acceso, rectificación, supresión, derecho a la limitación del tratamiento y a la oposición. En definitiva, herramientas que mejoran la capacidad de decisión y control de los internautas sobre los datos personales que confían a terceros.

Fomentará la transparencia empresarial

A partir de finales de mayo, las empresas dejarán de tener impunidad de cara al uso de los datos de sus clientes o usuarios, habrán de ser más cuidadosos con el tratamiento de estos mismos, deberán ser más transparentes de lo que eran hasta ahora y estarán obligados a ceder ante los derechos adquiridos de los usuarios.

¿Cumple mi web con el reglamento europeo de protección de datos?  19-04-2018
El nuevo Reglamento General de Protección de Datos (RGPD) será de obligado cumplimiento el próximo mes de mayo no deroga la LOPD; si bien, exige a las empresas y corporaciones adaptarse a nuevos principios, nuevas obligaciones y nuevos derechos de los ciudadanos.



Este proceso de adaptación, nos explican desde Aemol Consulting, a veces no resulta fácil, y requiere el asesoramiento y las recomendaciones de consultores especializados para cumplir con la ley. La protección de datos personales es un derecho fundamental, la intimidad y privacidad de estos deben garantizarse siempre que se requieran datos personales en las webs.

Las webs deben garantizar los nuevos principios establecidos en el RGPD. En primer lugar, la transparencia informativa, por ello las webs facilitarán la información completa al usuario con un lenguaje claro y directo, sencillo, e inteligible. Incluirán los avisos legales y la política de privacidad de las mismas, los cuales cumplirán con las exigencias de la normativa europea y nacional. Por otra parte, si las páginas webs disponen de servicio de Google Analytics, es preciso incluir claramente la aceptación de la utilización de cookies en la misma.

En segundo lugar, el consentimiento expreso y manifiesto. Las webs dispondrán de mecanismos de confirmación expresos, siempre que se requieran datos de información personal. El usuario confirmará de manera voluntaria, libre e inequívoca el tratamiento de sus datos personales, quedando claro el cumplimiento de la normativa como regla: qué datos personales son recogidos, cómo serán tratados, cuáles son sus fines, la identidad del responsable de la gestión, el plazo de conservación de los datos, el derecho de acceso, de rectificación, de supresión, de limitación o de portabilidad de los datos o la posibilidad de presentar una reclamación ante la autoridad competente. Y finalmente, y no por ello menos relevante, la responsabilidad proactiva que obliga a las webs cumplir con las exigencias y políticas existentes, así como adoptar las medidas necesarias para tratar los datos personales.

El cumplimiento del Reglamento, nos refieren desde Aemol Consulting protegerá mejor a los usuarios que hayan facilitado sus datos personales, reconociéndoles nuevos derechos como el de transparencia e información, consentimiento, derecho al olvido, derecho a la limitación del tratamiento, podrán solicitar la transferencia de los datos personales de un proveedor de servicios en Internet a otro, podrán presentar denuncias o exigir indemnizaciones de daños y perjuicios derivados del tratamiento ilícito de los datos personales. Los incumplimientos del Reglamento nos recuerdan desde la consultora, conllevará multas y sanciones cuantiosas, de hasta 20.000.000€ o, una cuantía equivalente al 4% como máximo del volumen de negocio total.

El nuevo Reglamento Europeo de Protección de Datos en la PYME  19-04-2018
A partir del 25 de mayo será de obligado cumplimiento el nuevo Reglamento Europeo de Protección de Datos (RGPD). Normalmente las leyes de cada país se adaptan para la entrada en funcionamiento del reglamento europeo que corresponda. En el caso de España, la adaptación de nuestra ley de protección de datos (LOPD) está aún en la mesa del congreso negociándose y sin fecha de finalización. Debido a esto el Reglamento Europeo pasará por encima de nuestra ley y se aplicará directamente.

Hasta ahora las empresas que se promocionan con campañas publicitarias tenían cierta libertad para enviarnos publicidad. Muchas veces hemos solicitado información a una empresa y hemos recibido ofertas de otras sin saber cómo habían conseguido nuestros datos. Esto se debía al consentimiento tácito que le habíamos dado a la primera a la que le habíamos solicitado información comercial de algún producto. Es decir, como posibles clientes y en otros casos como clientes, o por alguna “letra pequeña” estas empresas podían ceder nuestros datos a terceras empresas.

Ahora cambia esta cesión a favor de los intereses de los consumidores. Con el Reglamento Europeo estas empresas necesitan nuestro consentimiento explícito. Tengo que decir “quiero recibir la publicidad de esta empresa”. En caso contrario las sanciones son considerables a las empresas incumplidoras. Nada menos que un 4% de la facturación anual hasta un límite de 20 millones de euros.

¿Cómo afecta esto a nuestras pymes? Hasta ahora, con nuestra LOPD debíamos cumplir una seria de requisitos que lejos de entorpecer la actividad empresarial, dotaban a la empresa de mayor calidad a la hora de manejar la información de ella misma y de sus clientes.

Ahora la empresa es más libre de ordenar y asegurar su información. Ya que no tenemos aún la ley española, debemos interpretar lo mejor posible la europea de acuerdo a lo que ya conocemos de la LOPD española. Empezaremos por pedir, si no lo tenemos ya, el consentimiento explícito por escrito de nuestros clientes para manejar su información y ponernos en contacto con ellos para cualquier campaña comercial.

Muy importante es tener copia de seguridad de nuestros datos en internet (la nube). A la empresa que contratemos este servicio debe estar físicamente dentro de la Unión Europea, en caso contrario deberemos informar a nuestros clientes de la cesión de su información a servicios fuera de Europa como por ejemplo si tenemos sus datos almacenados en Dropbox.

Empresas con más de 250 trabajadores o que manejen una cantidad grande de información de clientes, tendrán la obligación de tener un Delegado de Protección de Datos. Esta nueva figura laboral conlleva responsabilidad subsidiaria por el mal manejo de la información que se haga en la empresa de la que sea responsable. Difícil situación coordinar los diferentes departamentos y que sean conscientes de la importancia de la protección de los datos siendo el delegado que lo coordina el responsable. También es una nueva oportunidad laboral para aquellos profesionales que ya conocen el funcionamiento de la LOPD.

Responsabilidades de contratar a un trabajador de la competencia. El Compliance Laboral como solución  19-04-2018
El mundo laboral está en constante movimiento. Empleados de unas y otras empresas cambian de puesto de trabajo y saltan de unas empresas a otras del mismo sector. A veces, son los propios trabajadores los que buscan oportunidades laborales, y, otras, son las empresas las que captan y contratan nuevos empleados. En este contexto es habitual encontrarse con trabajadores que mantienen con las empresas cláusulas de no competencia, mediante las cuales se comprometen, a cambio de una contraprestación abonada por la empresa, a no trabajar para la competencia en un periodo de hasta dos años. Si, finalizada la relación con esa empresa por cualquier motivo, el empleado pasa a prestar sus servicios para la competencia, estas non-compete clauses llevan aparejada una indemnización por daños y perjuicios a favor de la empresa inicial con motivo del incumplimiento por parte del empleado.

Así, en caso de incumplimiento, la Empresa para la que prestaba sus servicios podrá reclamar al trabajador por vía laboral la citada cantidad, pero, ¿es la nueva Empresa responsable de ese incumplimiento? Y si el trabajador ha abandonado la empresa inicial por una oferta de esta nueva empresa, ¿la nueva empresa tiene algún tipo de responsabilidad?

En caso de que la empresa de la que proviene el empleado (en adelante inicial o de origen) demandase a este último por incumplimiento del pacto de no competencia, desde un punto de vista laboral y dentro de esta acción/procedimiento, la nueva empresa contratante (o nueva empresa) a la que se incorpora el Empleado no tendría ningún tipo de responsabilidad, dado que el único responsable titular de la obligación de no competencia es el empleado que la pacta y asume.

Dentro de las conductas de contratación por parte de las empresas de empleados de la competencia, podrán diferenciarse dos situaciones: que la nueva empresa realice una captación y contratación como una maniobra lícita, o que se trate de una conducta de captación y contratación con la finalidad de generar en la empresa competidora graves dificultades económicas o, incluso, su expulsión del mercado. Pues bien, sólo en este último caso nos situaríamos ante la posibilidad de que la empresa de origen pudiese interponer acciones frente a la nueva empresa a la que se incorpora el trabajador: cuando el trabajador sea contratado por la nueva empresa a raíz de una captación de esta, y no por propia iniciativa del empleado, al considerar que con ello se está incurriendo en una conducta ilícita por competencia desleal.

En la práctica, este tipo de reclamaciones tienen lugar en supuestos de captación y/o contratación extremas y ante la concurrencia de una serie de requisitos. En esta materia, la Sentencia de la Audiencia Provincial de las Islas Baleares de 20 de diciembre de 2012 es completamente reveladora. Cuando nos referimos a “supuestos de captación extrema”, se trata, por ejemplo, de la captación conjunta de prácticamente la totalidad de una empresa, o bien la captación por una empresa de la competencia de un alto cargo (director financiero/director general) en el momento inminentemente anterior al cierre por éste de una operación fundamental para la empresa de origen. Y ello, por cuanto en el primer caso, la empresa a la que se incorporan los trabajadores estaría impidiendo el funcionamiento productivo de la nueva empresa al dejarle sin recursos humanos. Y, en el segundo caso, se podría entender que la nueva empresa de la competencia actúa con mala fe, con el ánimo de causar perjuicios graves a la empresa competidora (la de origen) al frustrar una operación que deja fuera de juego a la empresa.

Así, la Sentencia de la Audiencia Provincial de las Islas Baleares de 20 de diciembre de 2012 estableció una serie de criterios que permitirían considerar que existe una conducta de competencia desleal, como son:

Que exista por parte de la empresa (la nueva de destino del empleado) intención de eliminar o debilitar la capacidad competitiva de la competidora a la empresa competidora (en relación al artículo 14.2 de la Ley de Competencia Desleal).
Que la empresa que contrate al empleado se sirva de listados de clientes o documentación de la mercantil de la que proviene el trabajador (es decir, de la empresa de origen), así como la conclusión de operaciones con clientes de la empresa de origen del trabajador.
Que la empresa contratante (la nueva), utilice el engaño para inducir al empleado a terminar la relación laboral con su empresa (la empresa inicial).
Que exista una simultaneidad entre la baja del trabajador y su incorporación en la empresa competidora (la nueva), que deje a la empresa de origen del trabajador sin posibilidades de concurrir en el mismo mercado.
Que se trate de una maniobra planificada frente a la empresa competidora.
Que se trate de una captación masiva o de un trabajador esencial que automáticamente provoque una disfunción en el normal desenvolvimiento de la actividad de la empresa de origen.
Además, ante una acción de competencia desleal de acuerdo al artículo 14.2 de la Ley de Competencia Desleal, también podrá el juzgador considerar que existe una conducta ilícita por la empresa captadora y contratante por ser contraria al principio de buena fe.

¿Qué herramientas tiene una compañía para evitar estas responsabilidades o reducir el riesgo de una posible reclamación? El Compliance laboral es el mejor aliado: permite identificar y analizar los riesgos de incumplimiento que recaen sobre la contratación laboral de la plantilla de la empresa, estableciendo un plan de medidas correctoras y una evaluación o seguimiento periódico (monitoring) del riesgo. Esto se traduce en que, una vez detectado el riesgo en la contratación, se establezcan políticas de contratación para fijar, entre otras medidas, el proceso de búsqueda de empleados, la forma de contacto con el candidato, el desarrollo del proceso de selección o la información a requerir al sujeto, junto con un posterior seguimiento de cada contratación para conocer en qué circunstancias se está desarrollando la nueva contratación, qué número de empleados tiene la empresa provenientes de otras empresas competidoras, así como si estos nuevos empleados tienen reclamaciones por parte de la empresa anterior, eliminando y reduciendo los riesgos de reclamaciones por parte de las empresas de origen de los nuevos empleados incorporados a la Compañía.

Aemol Consulting advierte sobre la necesidad de contratar un DPO para las empresas  19-04-2018
El próximo mes de mayo, recuerdan desde la consultora Aemol Consulting, entrará en vigor el nuevo Reglamento General de Protección de Datos (RGPD. una de las nuevas exigencias que acarreará será la contratación de un DPO (Delegado de Protección de Datos). El DPO puede ser una persona física o jurídica, interna o externa. La norma como tal, continúan desde la consultora, no ofrece los casos concretos para la contratación de un DPO, pero si establece en su art. 37 tres casos en los cuales es obligatoria la contratación de este profesional, y estos son: el tratamiento lo lleve a cabo una autoridad u organismo público, las actividades principales del responsable o encargado del tratamiento consistan en operaciones que requieren un seguimiento regular y sistemático del interesado a gran escala; y las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala categorías especiales de datos personales relacionados con condenas o delitos.

Además, el nuevo Reglamento de Protección Oficial de Datos recoge la obligación de contratar un DPO para organizaciones e instituciones públicas y en entidades con más de 250 trabajadores, en el caso que estas tengan menos de 250 empleados será obligatoria la contratación de un DPO cuando necesiten un seguimiento sistemático y periódico de los datos personales tratados para la monitorización e investigación de mercados, análisis de riesgos y datos crediticios o de solvencia patrimonial y también cuando traten los citados datos catalogados de especialmente protegidos.

Por todo ello, explican desde Aemol Consulting que en virtud del Anteproyecto de la Ley Orgánica de Protección de Datos, en sus artículos 35 y 37 se establece que tendrán la obligación de designar un DPO: los colegio profesionales y sus consejos generales, los centros docentes, los centros sanitarios, las entidades que exploten redes y presten servicios de comunicaciones electrónicas, los prestadores de servicios de la sociedad de la información, las entidades de crédito, las empresas de servicios de inversión, los distribuidores y comercializadores de energía eléctrica y de gas natural, las entidades que desarrollen actividades de publicidad y prospección comercial así como los operadores que desarrollen la actividad del juego.

Las funciones a desempeñar por parte del Delegado de Protección de Datos están recogidas en el artículo 39 del Reglamento Europeo de Protección de Datos. Aemol Consulting detalla las mismas:

Informar, asesorar y sensibilizar al responsable de la empresa y trabajadores sobre el cumplimiento de la normativa.
Supervisar la implantación y aplicación de las políticas de protección de datos en la empresa.
Atender las peticiones de información de los interesados en el ejercicio de sus derechos de conformidad con la legislación de protección de datos.
Velar por la documentación que contenga datos personales.
Supervisar la documentación, notificación y comunicación de las violaciones de datos personales de conformidad con la normativa.
Supervisar la Evaluación de Impacto de Protección de Datos.
Supervisar la respuesta a las solicitudes de la Agencia Española de Protección de Datos.
Actuar como punto de contacto para la Agencia Española de Protección de Datos (AEDP).
Comprobar la conformidad del tratamiento cuando sea necesario realizar una consulta previa a la AEPD.
De la misma forma que el RGPD regula los casos concretos contratación del DPO, la tipología de instituciones y empresas en función de número de empleados y esboza sus funciones, la normativa prevé que el incumplimiento de las obligaciones del responsable y del encargado de la empresa en designar a un Delegado de Protección de Datos, se sancionarán de acuerdo con el apartado 2, con multas administrativas de 10.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

La nueva figura del Delegado de Protección de Datos o DPO  12-04-2018
Por Vanesa González.

Responsable Departamento de Soporte de Aemol Consulting.

El nuevo Reglamento Europeo de Protección de Datos
(RGPD/GDPR) que será de obligado cumplimiento el próximo 25 de mayo de 2018 establece una serie de medidas más estrictas en materia de protección de datos que las empresas, organizaciones y responsables necesitan aplicar para garantizar que el uso, tratamiento y almacenamiento de los mismos sea el adecuado.

Una de estas medidas esenciales es la responsabilidad activa, en cuanto a que es imprescindible que el responsable del tratamiento aplique aquellas medidas técnicas y organizativas, que garanticen el tratamiento adecuado y apropiado de los datos que tratan, y de cuáles son sus finalidades. Una normativa comunitaria más estricta, requiere que las empresas y organizaciones dispongan de herramientas que permitan procesar, utilizar y almacenar los datos de manera transparente y adecuada. Por ello, se necesita una actitud consciente, diligente y proactiva por parte de las organizaciones y empresas a la hora de salvaguardar sus datos y aplicar los tratamientos adecuados, e implementar las herramientas para conseguir el consentimiento implícito, así como para tener un plan de acción que permita aplicar correctamente el nuevo reglamento desde sus fases iniciales de análisis a las de tratamiento y custodia de los datos personales.

Otras medidas son: el análisis de riesgo, el registro de actividades de tratamiento, la protección de datos de datos desde el mismo momento en que se diseña un tratamiento, las medidas de seguridad, la notificación de “violaciones de seguridad de los datos”, la evaluación de impacto sobre la protección de datos y la figura del Delegado de Protección de Datos.

En esta ocasión, desde Aemol Consulting, analizaremos de manera pormenorizada la nueva figura del Delegado de Protección de Datos o Data Protection Officer (DPO), quien ejerce de enlace entre el responsable del fichero o encargado del tratamiento y la autoridad de control, garantizando el cumplimiento de la normativa de la protección de datos en las organizaciones y empresas. El DPO es nombrado por el responsable del tratamiento (titular de la empresa) o el encargado del tratamiento (aquel que preste este servicio). Su identidad debe ser comunicada a la Agencia Española de Protección de Datos, así como al público en general para que tenga la posibilidad de ponerse en contacto directo con él y ejercer cualquier derecho que les ampare en relación al tratamiento de sus datos personales. Su nombramiento no exime de responsabilidad a la empresa del cumplimiento del nuevo reglamento.

Las empresas y entidades con más de 250 empleados tienen la obligación de contratar un DPO; por otra parte, también será obligatorio , independientemente del número de empleados, en todos aquellos organismos, empresas o instituciones que trabajen con datos personales y que necesiten seguimiento sistemático y periódico de los datos personales tratados para la monitorización o investigación de mercados, análisis de riesgos o datos crediticios o de solvencia patrimonial, así como cuando traten los citados datos catalogados de especialmente protegidos.

Los requisitos para ser Delegado de Protección de Datos son:

Amplia experiencia y conocimiento de la materia y de la interpretación y adecuación práctica para aplicar la normativa sobre protección de datos, incluyendo medidas de seguridad en todos los procesos técnicos y administrativos y de desarrollo de la empresa.
Conocimiento concreto de la materia aplicado a los diferentes sectores.
Experiencia y capacidad para asistir a la razón social ante inspecciones, requerimientos de las autoridades competentes y cualquier tipo de consulta de los terceros afectados por el tratamiento de datos de la razón social.
Habilidades de negociación, formación y empatía para trabajar con representantes de trabajadores, y por supuesto con los propios trabajadores de la empresa.
Resumiendo, aunque no se exige que quien desempeñe el cargo de DPO sea jurista, si bien, debe tener conocimientos especializados en materia de derecho. Puede ser una persona física o jurídica, interna o externa, y debe ser especialista en materia de protección de datos. Y siempre actuará de forma independiente y no recibirá instrucción en lo que respecta al ejercicio de sus funciones, con la finalidad generar confianza en los ciudadanos.

En cuanto a las principales funciones a desempeñar por el DPO son:

cooperar con la autoridad de control; y
supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
Para terminar, recordaremos que el delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros. Desde Aemol Consulting, consultora experta en protección de datos, advertimos que el nuevo reglamento otorga amplias funciones al DPO, y a la vez; indicar que el DPO se convierte en el pilar fundamental que garantiza y protege la privacidad y seguridad de los datos responsabilidad de la empresa.

Protección de Datos revela que 74 usuarios se aprovecharon del fallo de seguridad en LexNET  11-04-2018
La Agencia Española de Protección de Datos (AEPD) ha hecho públicas sus conclusiones sobre la vulnerabilidad de datos personales tras el fallo de seguridad del sistema LexNET (la plataforma digital de intercambio de información entre órganos judiciales y operadores jurídicos) durante la jornada del pasado 28 de julio.

Según la AEPD, en aquel crítico día para decenas de miles de usuarios -procuradores, abogados y graduados sociales fueron los afectados- 284 accedieron a 692 buzones ajenos que no les pertenecían y realizaron 1.438 visualizaciones de mensajes de forma no autorizada. De ellos, 74 accedieron a 79 buzones de terceros y se descargaron 432 documentos sin permiso. Fueron notificaciones judiciales ya practicadas o pendientes y limitadas a los 60 días anteriores al 28 de julio.

Protección de Datos, sin embargo, ha dado por probado que no se pudieron manipular documentos presentados en juzgados, por ejemplo, acceder a comunicaciones que no hubieran sido abiertas previamente por el usuario legítimo ni presentar escritos en nombre de otros participantes. Tampoco pudieron visualizarse mensajes anteriores a los 60 días dado que LexNET borra esos datos de forma automática.

Este problema de seguridad se produjo al solicitar numerosos usuarios (identificados por el Ministerio de Justicia en su auditoria interna) labores de «sustitución legítima» de otros usuarios y de aquellos que tenían distintos roles para que fuese posible acceder a los buzones de los sustituidos sin necesidad de cerrar la sesión. De esta forma, se podrían consultar varios buzones de forma simultánea, a modo de multibuzón.

No obstante, según la Agencia nos encontramos ante un supuesto en el que un mismo hecho deriva en dos infracciones, dándose la circunstancia de que la comisión de una implica necesariamente la comisión de la otra. Esto es, si una documentación que contiene información personal sale del ámbito de la responsable de su confidencialidad (caída de LexNET), se está produciendo un incumplimiento de las medidas de seguridad exigidas al responsable (Ministerio de Justicia).

Mejoras de seguridad
Por lo tanto, aplicando el artículo 29.5 de la Ley de Régimen Jurídico del Sector Público -señala que «cuando de la comisión de una infracción derive necesariamente la comisión de otra u otras se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida»- se procede subsumir ambas infracciones en una sola.

Dado que, en este caso, se ha producido una vulneración de las medidas de seguridad, calificada como grave por el artículo 44.3.h de la Ley Orgánica de Protección de Datos (LOPD) y también un incumplimiento del deber de guardar secreto, «procede imputar únicamente la infracción del artículo 9 de la LOPD» a la Subdirección General de Nuevas Tecnologías, perteneciente a la Secretaría General de la Administración de Justicia.

En concreto, el incidente afectaba al buzón de correo de los usuarios de LexNET y consistía en que mediante la modificación deliberada de la dirección URL del navegador, cambiando los dígitos de identificación del usuario, se podía acceder a los buzones de terceros. Dicha identificación consta de 10 dígitos, por lo que para acceder a un buzón concreto había que conocer el identificador de dicho usuario.

Desde aquel grave problema de seguridad, el Ministerio de Justicia ha diseñado 69 medidas de mejoras «para mitigar el incidente y evitar situaciones similares en el futuro», de las que 55 ya se han implementado y el resto se encuentra en fase de desarrollo y/o pruebas. Una circunstancia que ha valorado de forma positiva Protección de Datos, que ha remitido sus conclusiones al Defensor del Pueblo.

Cómo afecta a la asistencia sanitaria el nuevo Reglamento General de Protección de Datos  02-04-2018
El próximo 25 de mayo de 2018 será de obligado cumplimiento el Nuevo Reglamento General de Protección de Datos (RGPD), el cual denomina especialmente protegidos a los datos relativos a la salud física o mental de las personas físicas, incluyendo la prestación de servicios de atención sanitaria que revelen información sobre el estado de la salud de las mismas sobre enfermedad, discapacidad, riesgo de padecer enfermedad, historial médico o tratamiento clínico del interesado, independientemente de que la fuente emisora sea el médico, un profesional sanitario o el hospital.
Con la llegada de la nueva normativa, se introducen algunas novedades sobre uno de los principios básicos para el tratamiento de los datos personales: el consentimiento. Desaparece el consentimiento tácito y se exige que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco, requiriendo por tanto una declaración explícita del o de los interesados, o una acción positiva. El RGPD incluye los datos concernientes a la salud entre los datos de naturaleza especial, incluyendo también los datos genéticos y biométricos en esa categoría.
Medidas en función del riesgo

La normativa, aunque no establece medidas de seguridad por niveles, sí prevé que se apliquen medidas en función del riesgo y, para el caso que nos atañe, el tratamiento de datos sobre la salud de las personas físicas, los riesgos son elevados, por lo que las medidas organizativas y de seguridad se diseñarán conforme a dicho riesgo.
Entre las principales medidas a plantear, la Evaluación de Impacto o Análisis de Riesgo, que permitirá a los responsables tomar las medidas adecuadas para reducir dichos riesgos plasmándolos en un documento de seguridad o protocolo. Otra medida será el Registro de Actividades de tratamiento que obliga a los responsables o encargados de forma obligatoria, cuando nos referimos a datos relacionados con la salud, con independencia o no de tener más o menos de 250 empleados, como se exige para otros sectores. Asimismo, es preciso mantener ese Registro de Actividades. Por último, las entidades sanitarias deberán contar con un Delegado de Protección de Datos (DPO). El DPO será el encargado de revisar las políticas de custodia, destrucción de historias clínicas, controlar la cesión de datos a laboratorios o compañías aseguradoras, además de establecer las políticas de seguridad informática.

Los centros sanitarios estarán legalmente obligados al mantenimiento de las historias clínicas de los pacientes durante cinco años, contando desde el alta de cada proceso asistencial, con lo cual tendrán que nombrar un DPO y comunicar este nombramiento a la Agencia Española de Protección de Datos.

Con esta nueva normativa, explican desde Aemol Consulting, los cambios y exigencias necesarias de adaptación en materia de protección de datos, ofrecerán una gran oportunidad a los centros sanitarios para actualizar sus sistemas de información, medidas de seguridad, así como la revisión de sus protocolos en beneficio de sus pacientes quienes verán mejor salvaguardada su intimidad y confidencialidad de sus datos.
Vanesa González
Responsable Departamento de Soporte de Aemol Consulting

Crónica y ponencia de la Jornada sobre novedades legislativas en materia de propiedad industrial y secretos empresariales  19-03-2018
El pasado 14 de marzo tuvo lugar en la sede de la OEPM una Jornada organizada por la asociación LES España - Portugal donde se expusieron dos temas de gran actualidad dentro del campo de la protección de los activos intangibles. Por un lado, la OEPM expuso su experiencia tras los primeros meses desde la puesta en marcha de la nueva Ley de Patentes 24/2015 (para mayor información, puede acceder a la presentación); y, por otro lado, LES EP presentó sus aportaciones en el trámite de consulta pública al anteproyecto de ley sobre secretos empresariales. Respecto de las aportaciones al citado anteproyecto de ley, se comentaron aspectos tales como la concreción del objeto de la ley, esto es, qué debe entenderse por secreto empresarial, englobando tanto los secretos industriales como los comerciales; cómo tratar la información confidencial en procesos judiciales; la regulación de las medidas de comprobación de hechos tal como vienen establecidas en la actual Ley de Patentes; qué debe entenderse por mercancía infractora, incluyendo tanto los bienes como los servicios; los secretos empresariales como objeto de propiedad y su regulación cuando se obtienen en una relación laboral; así como la responsabilidad de terceros adquirentes de buena fe.

WhatsApp y Facebook, multadas por compartir datos de usuarios  16-03-2018
La AEPD impone una sanción de 300.000 euros a cada una por haber incurrido en dos infracciones graves.
La Agencia Española de Protección de Datos (AEPD) ha impuesto sendas sanciones de 300.000 euros a WhatsApp y Facebook por haber incurrido en dos infracciones graves de la Ley Orgánica de Protección de Datos (LOPD). El organismo ha determinado que la primera compañía comunicó datos de usuario a la segunda, que posteriormente los trató para sus propios fines, en ambos casos, sin consentimiento.

La AEPD ha dictado resolución en el procedimiento sancionador iniciado a WhatsApp y Facebook, y ha declarado la existencia de dos infracciones "graves" de la Ley Orgánica de Protección de Datos, como ha anunciado este jueves el organismo en un comunicado. Estas infracciones han sido sancionadas cada una con 300.000 euros.
Según la Agencia Española de Protección de Datos, WhatsApp comunicó datos a Facebook "sin haber obtenido un consentimiento válido de los usuarios", lo que ha derivado en una sanción al servicio de mensajería. Por su parte, Facebook ha sido multado por haber tratado esos datos para sus propios fines "sin consentimiento".

La LOPD se adapta al mundo digital  13-03-2018
Es importante hacernos las siguientes preguntas. ¿Hasta qué punto somos dueños de nuestros datos? ¿Qué uso pueden hacer terceros de nuestra información? Pueden parecer dos preguntas sencillas pero que, sin embargo, tenían una difícil respuesta hasta el día de hoy. Todos conocemos casos en donde empresas, marcas o entidades han tenido grandes dificultades con la legislación de algún país en materia de protección de datos.

El caso más reciente, sirviendo de ejemplo, lo tenemos en Facebook al ser condenado en Alemania por incumplir su ley de protección de datos al utilizar la información de los usuarios sin su consentimiento al actuar al borde de su legislación.

Nuestro país, con la entrada en vigor de la nueva ley de protección de datos, no solo cumple con las obligaciones recogidas en el “Reglamento General de Protección de Datos” (RGPD) publicado en el Diario Oficial de la Unión Europea (UE) el pasado 4 de mayo de 2016, sino que también se culmina el arduo proceso encabezado por la Comisión Europea (CE) para la regulación de la privacidad en toda la UE, derogando a la Directiva 95/46/CE, y en donde sus ciudadanos resultan los más beneficiados gracias a las mejoras que introduce en un intento de adaptarse, esta vez sí, al mundo digital.

La nueva norma introduce varias figuras donde se destaca el concepto de responsabilidad activa en donde empresas y responsables de ficheros deben disponer de una serie de medidas, para que puedan ofrecerse garantías que permitan al consumidor pleno control de los datos que comparte y de su seguridad. Lo que viene a ser que el usuario será ahora y más que nunca dueño de sus datos, sujeto activo del proceso y no una figura pasiva donde ahora el responsable último de la seguridad de los datos será la empresa con la que el cliente contrata el servicio.

Es momento, por tanto, de que empresas e instituciones revisen sus procesos en la manera en que procesan la información personal de sus clientes antes de que comience la cuenta atrás, que finalizará el próximo 25 de mayo con la entrada en vigor de la nueva normativa.

No hacerlo así supone exponernos a cuantiosas multas, ya que la nueva norma establece sanciones que podrán llegar a los 20 millones de euros o al 4% de la facturación global de la compañía. Hay que recordar que hasta el momento la multa máxima en materia de protección de datos en España es, hasta la fecha, 600.000 euros. Es claro por tanto el impacto económico que conlleva la posibilidad de hacer caso omiso y no adaptarse a sus novedades.

Además, un punto importante del nuevo reglamento es que obligará, como principio de transparencia, a las empresas a notificar en 72 horas las brechas de seguridad que sufran y que supongan el robo de información personal de sus clientes. Casos como los robos de información de eBay o el especialmente escandaloso caso de Yahoo, que ocultó un importante robo masivo de contraseñas (más de 500 millones) en 2014 hasta bien entrado 2016, no podrán volver a darse. Para evitarlo las empresas además deberán realizar evaluaciones de Impacto o “EIPD”, para determinar los riesgos en el tratamiento de datos de carácter personal y así poder mitigar o suprimir los mismos.

Es necesario tener en cuenta que a partir de este momento también debemos considerar que toda medida tomada a futuro debe ser diseñada bajo el principio de “privacy by design”, es decir, que cada vez que un usuario o cliente, sin importar su antigüedad, adquiera un nuevo producto o servicio, la privacidad que vendrá por defecto será la más estricta, y no la más laxa, como ocurre muchas veces ahora.

Se exige además que exista un consentimiento libre, informado, específico e inequívoco que requiere una acción positiva del interesado, por lo que no será válido el consentimiento tácito de la misma forma en que se venía entendiendo hasta la fecha, es decir, el que se entendía prestado a partir de una situación de silencio o inacción.

Esto también se aplica en varios derechos que hasta ahora los usuarios venían demandando y que les afectaba especialmente en el mundo digital y que, gracias a la adecuación de la norma, ya son posibles. A todos nos suena el conocido como derecho al olvido. Donde básicamente se resume en el derecho que tiene todo usuario en ser borrado de cualquier base de datos en donde figuren registros sobre el mismo.

Hasta el momento una empresa podía borrar nuestros datos pero mantener un registro oculto a modo de copia de seguridad o al haber “cedido” nuestros datos en algún momento a terceros hacer la tarea de “desaparecer” muy complicada. Esto cambia con la nueva norma, el usuario puede conocer al detalle el tratamiento que se hacen de sus datos, cesión a terceros, etc., siendo la empresa prestadora de servicio la que se hace responsable llegado el momento de facilitar la aplicación del derecho antes citado.

El derecho a la portabilidad, que complementa al derecho de acceso, es por tanto otra de las novedades introducidas que debe ser tenida muy en cuenta, ya que permite a los usuarios obtener los datos que han proporcionado a una entidad/empresa/organización (responsable del tratamiento) en un formato estructurado, de uso común y de lectura mecánica. Lo que posibilita no sólo que los datos puedan ser sean tratados de manera automatizada, mejorando nuestra privacidad, sino también transmitirlos de un proveedor o prestador de servicios a través de su autorización o contrato.

En un escenario tan conectado y complejo como es el entorno digital actual. la introducción de estas novedades, aún como resultado de la adecuación de nuestra legislación a las obligaciones recogidas en el “Reglamento General de Protección de Datos”, es sin duda una respuesta a las demandas más comunes realizadas por consumidores y una gran oportunidad permitirá a empresas mejorar en su oferta de servicios dentro del marco común que representa Unión Europea.

La responsabilidad de los administradores al no instaurar programas de compliance en las PYMES  09-03-2018
Implantación del compliance

A raíz de la reforma del Código Penal del año 2015 se establece un formato de aplicación de sistemas de Compliance y las posibles responsabilidades penales que existen para la Sociedad en el caso de no implantar dichos planes en su estructura empresarial.

Lo que hasta la fecha ha sido un tema sin apenas repercusión es la posibilidad que existe por parte de la sociedad de atenuar e incluso eximir la totalidad de su responsabilidad para así transferir ésta a los administradores de la sociedad, en el caso de que se pruebe la existencia de dolo o negligencia en el ejercicio de sus funciones.
En este sentido el marco legal aplicable sería :

Ley Orgánica 1/2015, de 30 de marzo (reforma del Código Penal)
Circular de la Fiscalía General del Estado 1/2016
Entre los delitos que previene el Compliance Program se encuentran:

Delitos contra el medio ambiente y la salud.
Delitos fiscales.
Delitos societarios.
Delitos contra los consumidores.
Delitos contra la propiedad industrial e intelectual.
Delitos contra el mercado.
Delitos tecnológicos.
Delitos contra los derechos de los trabajadores.
Delitos de cohecho o alzamiento de bienes.
Delitos de estafa.
Delitos urbanísticos.
Delitos entre particulares.

Peculiaridad del compliance officer en la pyme

El compliance officer es la persona encargada de vigilar y velar por el cumplimiento del programa del compliance.

En los supuestos de las PYMEs según nos indica el art. 31 BIS, Apartado 3 se permite que dichas funciones sean desempeñadas por el Órgano de Administración siempre y cuando la empresa presente Cuenta de Pérdidas y Ganancias abreviadas.

Según el art. 258 del Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital, Las personas jurídicas de pequeñas dimensiones:

Podrán formular cuenta de pérdidas y ganancias abreviada las sociedades que durante dos ejercicios consecutivos reúnan, a la fecha de cierre de cada uno de ellos, al menos dos de las circunstancias siguientes:
a) Que el total de las partidas de activo no supere los once millones cuatrocientos mil euros.
b) Que el importe neto de su cifra anual de negocios no supere los veintidós millones ochocientos mil euros.
c) Que el número medio de trabajadores empleados durante el ejercicio no sea superior a doscientos cincuenta.
La principal peculiaridad del compliance para con las Sociedades a raíz de la reforma del Código Renal es que se le responsabilice penalmente a la empresa de manera inmediata al no tener instaurado un programa de compliance, es decir, no cumplir sus deberes de supervisión, vigilancia y control.

Al referirnos a “Sociedades” es necesario hacer una pequeña apreciación que por obvia que pueda parecer es necesaria para aclarar dudas. En una Sociedad independientemente del tipo (limitada o anónima) existen dos órganos totalmente diferenciados:

La junta de accionistas/ socios que son los propietarios de la sociedad.
El órgano de administración, que es el órgano encargado de supervisar el buen funcionamiento de la sociedad.
Esta precisión resulta importante reseñarla porque la finalidad de este artículo versa en distinguir la Sociedad como tal (junta de socios) y el Órgano de Administración. Lo más normal en una S.L. de reducida dimensión es que exista uno o dos accionistas y los mismos coincidan con el Órgano de Administración, principalmente bajo la figura de un administrador único o administradores solidarios.

Una opción poco recomendable para salvaguardar el patrimonio del empresario sin contratar un compliance officer, es que este siga realizando funciones propias de un administrador, pero sería recomendable externalizar la administración de la sociedad y otorgar poderes (teniendo en cuenta la amplitud de los mismos al poder considerarse un administrador de hecho dependiendo de las funciones).

En este sentido la persona jurídica podría evadir toda la responsabilidad al argumentar que por su parte se ha llevado a cabo todas las actuaciones posibles y diligentes para instaurar un programa de compliance. En ese caso el responsable podría ser la persona física autora del tipo penal imputable, es decir, al acreditarse por parte de la sociedad que ha sido el administrador, como encargado de dicha implantación y supervisión el que no ha cumplido con su cometido.

Si se optase por la contratación de un compliance officer y no se llegara a instaurar un programa de compliance ¿quien sería el responsable de implantación del programa de compliance? ¿El administrador o el compliance officer?

Al tratarse de un hecho punible por omisión de funciones, la comisión por omisión se ha de apreciar cuando su deber es de garante y consiste en impedir el resultado, siendo equiparable la actitud omisiva a la del sujeto activo del delito.

Extrapolando este supuesto al ámbito laboral y debido a su similitud de los sistemas de compliance con los planes de prevención de riesgos laborales se puede extraer el criterio del Tribunal Supremo entendiendo este que quien tiene posibilidad fáctica de evitar la situación de peligro y encontrándose jurídico-laboralmente obligado a hacerlo no lo cumple, es el autor del delito.

Dicho esto, si la empresa optase por contratar los servicios de un compliance officer y se determinara que el delito ocasionado dentro de la empresa hubiera surgido a raíz de una negligencia de sus funciones quedando perfectamente delimitada su responsabilidad , sería él el responsable.

En este sentido, de cara a una pyme ¿resulta aconsejable externalizar los servicios de compliance?

A modo de resumen, resultaría aconsejable que la pequeña empresa externalice el servicio, independientemente de que no es obligatorio para una empresa de reducido tamaño el contar con un compliance officer, si es cierto que contaría con los servicios de un profesional independiente que realizaría un estudio de prevención más exhaustivo que un administrador interno. Contando para ello con una formación y experiencia especifica. En este caso el compliance officer debe de contar con todos los medios que estén al alcance de la pyme.

También depende del objeto social de la sociedad y de los posibles riesgos que pueda tener, es por ello que aunque la ley permite a una empresa de reducida dimensión prescindir de un compliance officer, si la naturaleza de su actividad se considera delicada sería recomendable la implantación del mismo para así evitar responsabilidades para sus socios.

La AEPD publica un informe sobre la utilización de aplicaciones que almacenan datos de alumnos en la nube  07-03-2018
El estudio tiene su origen en el fuerte incremento del uso de apps en el entorno escolar por parte de profesores y alumnos, así como el gran volumen de datos personales que se manejan.

El informe destaca que se utilizan apps, almacenamiento en nube, correo electrónico o redes sociales ajenas a las plataformas de los centros y que, en muchos casos, podría existir un riesgo de pérdida de control sobre los datos personales que se aportan
El documento incluye orientaciones y un decálogo de recomendaciones para fomentar la protección de datos a través del buen uso de las aplicaciones en los centros docentes
Entre las conclusiones del estudio destaca el hecho de que en la mayoría de los centros se utilizan estas aplicaciones, y que, en muchos casos, mediante ellas se almacenan datos personales. Asimismo, se ha constatado la gran variedad de aplicaciones que se utilizan por parte de los profesores como, entre otras, los cuadernos de notas y organización de clases, realización de presentaciones, creación y difusión de vídeos y acceso a plataformas de aprendizaje desde terminales móviles.

En este sentido, las aplicaciones que más datos personales de los alumnos pueden llegar a tratar son los cuadernos de notas de los docentes. Dadas las funcionalidades que ofrecen estas aplicaciones y la tipología de los datos que tratan, los tratamientos efectuados podrían incluir la elaboración de perfiles de aprendizaje, preferencias o comportamiento de menores de edad por parte de los responsables de las aplicaciones.

Además, del estudio se infiere el uso mayoritario de sistemas que almacenan datos en la nube con la finalidad de compartir documentos entre profesores y alumnos y de guardar información como listas de asistencia, calificaciones, fotos y vídeos. En relación con la utilización de redes sociales en el entorno escolar, el informe revela que su uso es más moderado tanto por profesores como por alumnos, siendo Facebook la más mencionada, seguida de Twitter e Instagram. Respecto al uso de correos electrónicos, se constata que el correo facilitado por la plataforma educativa no es el único que se utiliza.

La AEPD publica un informe en el que avala que el Reglamento de Protección de Datos facilita el desarrollo de la investigación biomédica  06-03-2018
La Agencia concluye que el RGPD y el Proyecto de LOPD actualmente en tramitación no alteran el marco normativo vigente en España en relación con el tratamiento de datos para investigación biomédica, por lo que la normativa sectorial sanitaria existente se mantiene.

Además, el articulado del RGPD permite una interpretación más flexible de los fines para los que puede darse el consentimiento cuando éste es necesario porque así lo especifica la normativa sectorial
El RGPD también permite una interpretación más amplia de los tratamientos con fines de investigación biomédica cuando la norma exceptúa que sea necesario ese consentimiento, como son los casos de investigaciones de interés general autorizados por los comités de ética de investigación
La aplicación del Reglamento el 25 de mayo de este año, en consecuencia, supone un avance para el desarrollo de la investigación biomédica.
El informe afirma que el RGPD y el Proyecto de Ley Orgánica de Protección de Datos no sólo mantienen inalterado el régimen contenido en la Ley 14/2007 de investigación biomédica y el RD 1090/2015 sobre ensayos clínicos con medicamentos, sino que permiten realizar una interpretación más flexible del alcance que puede darse al consentimiento prestado de conformidad con la misma, superando, a título de ejemplo, la interpretación más restrictiva contenida en el artículo 60 de la Ley de Investigación Biomédica.

En este punto, la Agencia menciona en su texto que a partir de la aplicación del Reglamento no será necesario que la persona preste su consentimiento para una investigación concreta; ni siquiera para la realización de investigaciones en una rama muy delimitada como, por ejemplo, un determinado tipo de cáncer, sino que, teniendo en cuenta la interpretación derivada directamente del RGPD, será suficientemente inequívoco y específico el consentimiento prestado en relación con una rama amplia de investigación como, por ejemplo, la investigación oncológica, o incluso para ámbitos más extensos.

Por otro lado, la Ley 14/2007 también contempla la posibilidad de realizar investigaciones sin consentimiento con un conjunto de garantías entre las que destacan que sean investigaciones de interés general y que las autoricen los comités de Ética de la Investigación. Sobre esta situación, el RGPD permite una interpretación más amplia y flexible de los fines de investigación para los que debe prestarse el consentimiento o de los supuestos en que excepcionalmente la norma no lo exige.

Llegan fechas clave para la protección de datos en España  01-03-2018
Este mes de febrero han empezado, por fin, los trámites parlamentarios para aprobar el Proyecto de Ley Orgánica de Protección de Datos propuesto por el Ministerio de Justicia. A menos de 4 meses para la entrada en vigor del Reglamento General de Protección de Datos(RGPD) — fijada en el 25 de mayo de 2018 — el Ministerio quiere que esta ley sirva para adaptar la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal[3] (LOPD) a las exigencias previstas en el texto europeo y para zanjar cualquier duda entorno a la aplicabilidad del mismo en nuestro país. La única duda que ahora nos queda es:

¿Lograremos aprobar la ley a tiempo?

La necesidad de un texto nacional

Desde que se aprobara la versión definitiva del RGPD en abril de 2014, muchos han sido los movimientos institucionales destinados a aclarar las dudas de aplicabilidad del Reglamento. Desde el ya inoperativo Grupo de Trabajo del Artículo 29[4] hasta el nuevo European Data Protection Supervisor (EDPS)[5] pasando por las autoridades de protección de datos nacionales como la Agencia Española de Protección de Datos[6], han sido varias las publicaciones presentadas para facilitar la interpretación y la aplicación de la norma europea. Sin embargo, había siempre un punto que quedaba en el aire: cómo iban a aplicar las leyes nacionales las exigencias contempladas en el Reglamento europeo.

Mientras en abril de 2017 Alemania promulgaba una ley para modificar su actual Bundesdatenschutzgesetz [Ley federal de Protección de Datos] o, en noviembre de ese mismo año, Italia aprobaba la Ley n. 167/2017[9] para reformar el Codice in materia di protezione dei dati personali [Código sobre la Protección de Datos Personales], países como Francia y España se habían quedado atrás en la modificación de sus leyes de protección de datos y hacían un poco más compleja la adaptación del RGPD. Ello provocaba que, mientras esta pieza del engranaje no se pusiera en marcha, las más de cincuentena referencias al derecho nacional dispuestas a lo largo del RGPD no pudiesen ser interpretadas correctamente en cada Estado Miembro.

Hablamos de referencias del RGPD como podrían ser la edad mínima para otorgar el consentimiento, los poderes de la autoridad nacional de control, el tratamiento de datos en el ámbito laboral, la prestación de servicios médicos o las sanciones a determinadas conductas. Todos ellos aspectos que la normativa europea exigía que fuesen definidos o completados por los Estados Miembros de cara a facilitar su adaptación a cada legislación nacional. No debemos olvidar que, pese a los intentos del Reglamento para alcanzar una uniformidad en materia de protección de datos personales, lo cierto es que la Unión no tiene competencias en todos los sectores que se ven afectados por el texto promulgado. De ahí a que sea más que necesario que todos los Estados Miembros adapten sus actuales legislaciones a aquellos aspectos que el Reglamento les exige.

Ahora bien, mientras en Francia ya tienen su Project de Loi relatif à la protection des données personnelles [Proyecto de ley relativo a la protección de los datos personales] debatiéndose en el Senado y están cerca de terminar con el trámite legislativo, en España justo acabamos de iniciar el primer debate en las Cortes.

¿Qué está sucediendo en España con la nueva LOPD?

A propuesta del Ministro de Justicia Rafael Catalá, el pasado 10 de noviembre de 2017[12] el Consejo de Ministros aprobó el primer Anteproyecto de Ley Orgánica de Protección de Datos con el objetivo de adaptar a nuestra legislación vigente a las disposiciones del RGPD. Un Anteproyecto de ley que, después de obtener los informes de impacto y el correspondiente Dictamen del Consejo de Estado, se convertiría en el actual Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal[16]. Un Proyecto que sería presentado en el Congreso el pasado el 14 de noviembre de 2017, momento en el que empezó su tramitación parlamentaria. Sin embargo, tras tres meses de “inactividad” por un período para la presentación de enmiendas postergado, no fue hasta el pasado día 15 de febrero cuando pudimos presenciar la primera sesión de debate en el Congreso de los Diputados. Una sesión parlamentaria que, eso sí, sirvió tanto empezar a visualizar las distintas posturas de cada grupo político en relación con el Proyecto, como para para debatir sobre la enmienda a la totalidad presentada por el Grupo Parlamentario Mixto (en este caso el PDeCAT).

Pese a estar claramente marcada por los últimos acontecimientos políticos de nuestro país y por el clima político habitual en las Cortes, podríamos decir que fue un debate que giró entorno a dos grandes ejes: el papel de las agencias autonómicas de protección de datos y la tardanza en el inicio del proyecto. Así, mientras los Diputados del PDeCAT y del Grupo Parlamentario de EAJ-PNV defendían que la ley no respetaba la distribución de competencias y otorgaba mucho más poder a la Agencia Española de Protección de Datos que a las agencias autonómicas, los diputados de Ciudadanos, el grupo Socialista y de grupo parlamentario confederal de Unidos Podemos-En Comú Podem-En Marea le recriminaban al Gobierno que hubiese presentado el Proyecto de ley a menos de seis meses para la aplicación del RGPD lo que limitaba los plazos temporales para la actividad parlamentaria. Y es precisamente este último aspecto el, en mi opinión, es el más preocupante de todos.

Mientras la enmienda a la totalidad fue rechazada por 318 votos en contra y 16 a favor[18]porque los grupos entendieron que esta no tenía muchos fundamentos, los grupos parlamentarios “amenazaron” con presentar enmiendas parciales y llamar a expertos de distinto tipo para proseguir con los trámites habituales y necesarios para la aprobación de este tipo de ley. O, dicho en otras palabras, a casi un trimestre para la entrada en vigor del RGPD muchos diputados dejaban entrever que este iba a ser una tramitación larga y que difícilmente llegaríamos a tiempo para la entrada en vigor del Reglamento.

Dudas en el aire

Esperando a la aprobación de la Proposición, son muchos los aspectos que quedan en el aire a la espera de solución legal. Si bien gran parte del texto propuesto desarrolla aspectos “nuevos” (por ejemplo, presenta una nueva regulación para los ficheros de morosos, temas de videovigilancia o la eliminación del consentimiento tácito) lo cierto es que muchos de ellos aún podrían ser resueltos con la actual LOPD o con la aplicación directa del RGPD. No obstante, en casos podría ser más problemático dar una solución. Este sería el caso de la figura del Delegado de Protección de Datos (DPD), no prevista en la actual LOPD y no del todo regulada en el texto europeo, donde no disponer de una regulación específica podría hacer muy difícil la aplicación de la figura.

Y esto es algo que también se está viendo reflejado en las Cortes, puesto que de forma paralela a la tramitación del proyecto de ley, algunos diputados han registrado preguntas oficiales dirigidas al Gobierno y relacionadas con los requisitos exigidos para ser DPD o derivados de los fundamentos legales de la Certificación provisional otorgada por la AEPD. Dudas que, aparentemente, ya deberían estar solucionadas a estas alturas de año.

En definitiva, estamos en un proceso parlamentario para la modificación de la Ley Orgánica de Protección de Datos que ha empezado tarde y que se prevé largo y complejo. Veremos como van avanzando los trámites y qué reformas termina sufriendo el Proyecto presentado.

La mitad de las pymes no conoce bien la RGPD. Quedan 100 días para su implantación  26-02-2018
Más de la mitad de las pequeñas y medianas empresas en España no están familiarizadas con la RGPD, o ni siquiera han oído hablar de esta norma europea de Protección de Datos. El problema que tienen por delante es que quedan menos de 100 días para su su implementación.
Los datos han sido aportados por la compañía Sage en España, tras un análisis sobre esta cuestión. Más concretamente, el 52% de las pymes no está familiarizada o desconoce su existencia. Existen más datos para la preocupación, puesto que más de una de cada tres compañías de este tamaño reconoce que no tendrán listos los requerimientos necesarios para cumplir con la RGPD para el 25 de mayo, fecha limite para su implantación. Un 22% reconoce, además, que no tiene recursos suficienes para llevar a cabo la adaptación, según las cifras aportadas por la compañía de soluciones de gestión empresarial en la nube.
Una normativa que afecta también a los autónomos

La nueva norma afecta a cualquier empresa u organización incluidos los profesionales por cuenta propia, siempre y cuando recopilen o utilicen datos personales de personas física de cualquier parte de la Unión Europea. Una normativa que establece las responsabilidades de las empresas relativas a la recopilación, uso, divulgación, retención y protección de datos personales. También rige los procesos que las empresas utilizan para gestionar esos datos personales. En definitiva, un asunto relevante pero difícil de comprender e implantar en la pyme, según ellas mismas recocen. El 37% de las compañías encuestadas asegura que no entiende bien el efecto que tendrá en su negocio.
Otra demostración de la falta de conocimiento de la norma es la importante figura del DPO (Data PRotection Officer) o Responsable de Protección de Datos. Las pymes no saben cómo deben adaptar esta figura a sus procesos, cuando es una de las claves de la nueva norma. En concreto, el 60% no sabe si realmente necesita o no esta figura en su negocio.

El desconocimiento, en general, es amplio. Y, sin embargo, el informe pone de manifiesto que las mismas compañías sí son conscientes de los riesgos que corren.El 61% de las pmes sometidas a análisis por Sage aesgura que están preocupadas por las posibles sanciones que puede acarrear el incumplimiento de la RGPD.

La importancia de contar con un plan de ‘compliance’  20-02-2018
Tener un programa de compliance ha dejado de ser una moda para convertirse en una necesidad”. Así de rotundo se mostró el director del servicio jurídico de El Corte Inglés y exfiscal de la Audiencia Nacional, Juan del Moral, durante la jornada Aspectos prácticos de Compliance Penal en grandes empresas españolas celebrada esta semana en Deusto Business School (Madrid).
Las políticas de compliance, o de prevención de riesgos legales, son una práctica cada vez más frecuente en las empresas para curarse en salud. “Cuando empezamos a hablar de esto nos tachaban de locos. Ahora que se han dado cuenta de la mala imagen que da que un juez llame a declarar a una persona jurídica, han visto que no lo estábamos”, continuó Del Moral, para quien estas directrices deben estar dentro de algo más amplio como es el buen gobierno corporativo.
El directivo hizo hincapié en que la negación, pensar que es algo que no puede llegar a pasar, es un error. “El objetivo del compliance es darse cuenta de que hay un problema y actuar rápidamente”, aclaró. Las empresas no deben desentenderse de los posibles problemas porque, más allá de la responsabilidad legal, es una cuestión de imagen. Del Moral aseguró durante su ponencia que es muy difícil separar la responsabilidad penal del prestigio: “No se puede hablar de compromiso y ocultar los errores o eludir el coste reputacional de las acciones, pues al final este acabará siendo mucho mayor”.
Por su parte, el director corporativo de servicio jurídicos de Repsol, Enrique Hernández, insistió en que “las políticas de compliance son la forma en la que las empresas cumplen con la sociedad”, ya que esta “acaba expulsando a las compañías que no cumplen”. Los expertos presentes en Deusto Business School coincidieron en que este tipo de directrices van más allá del ámbito jurídico para examinar la empresa desde otros puntos de vista. “Hay una obligación, no solo legal sino también ética de hacer todo lo posible para que la ley se cumpla”, sentenció el presidente de Aena, Jaime García. Y recalcó que “aunque cualquiera debe cumplir con las normas, una sociedad mercantil estatal, como es Aena, mucho más, pues no se entendería que una empresa con participación mayoritariamente pública no cumpliese con los más altos niveles de responsabilidad”.
Un asunto en el que la comunicación resulta clave ya que, como recordó el ex fiscal, “de nada serviría tener un plan de compliance si luego nos olvidamos todos de ello y no transmitimos constantemente su importancia a toda la plantilla”. Un aviso que debe ir de arriba hacia abajo en las organizaciones. “La mayor responsabilidad la tiene el consejo de administración porque es el que debe responder ante los dueños, que son los accionistas”, reconoció el presidente de Aena.

¿Cómo acredito que cumplo con el RGPD? ¿Evidencias? ¿Pruebas?  13-02-2018
El próximo 25 de mayo, como todos sabrán, entra en vigor el Reglamento Europeo de Protección de Datos 2016/679, conocido por sus sigas RGPD o GDPR. Desde esa fecha todas las empresas que traten datos de carácter personal, sea en calidad de responsables o de encargados del tratamiento, para cumplir con el principio de Responsabilidad Proactiva o Accountability, deberán aplicar “las medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento es conforme al presente Reglamento”.
Tendremos que tener la capacidad de poder demostrar que cumplimos con la norma. Esta obligación no es solo para con la Agencia Española de Protección de Datos. La contratación de los encargados del tratamiento se deberá realizar con aquellos que garanticen que cumplen con, por lo que tendremos que acreditarlo también ante aquellos que nos vayan a contratar para prestar un servicio que implique acceso a datos.
¿Cómo acredito que cumplo con los requisitos del Reglamento General de Protección de Datos?

El propio Reglamento determina que podrán utilizarse como elemento de demostración del cumplimiento la adhesión a Códigos de Conducta, siempre que se hayan aprobado conforme a los criterios del art. 40 del RGPD o mediante los mecanismos de certificación aprobados con arreglo al artículo 42.

Dado que estos medios no son obligatorios, la acreditación también se puede hacer mediante la documentación que se haya generado para determinar las medidas destinadas a cumplir con las obligaciones del Reglamento, así como las evidencias del correcto funcionamiento de las mismas, lo que en el argot de los Sistemas de Gestión son medidas y controles.

Esta forma de demostrar o acreditar el cumplimiento en base a la documentación interna y las evidencias no resultará muy complicada, dado que tenemos la obligación de guardar las pruebas que demuestren, por ejemplo, que hemos informado correctamente o que aplicamos unas determinadas medidas de índole técnico u organizativo para cumplir con el principio de seguridad. Esto se traduce en que tendremos un montón de documentación sobre el Reglamento como: procedimientos o protocolos internos, cláusulas de información, contratos de encargado del tratamiento, registro de actividades del tratamiento, evaluaciones de impacto sobre la protección de datos, análisis de riesgo, etc. Por tanto, entregando toda esta documentación se demostraría que nuestra empresa cumple con el Reglamento, aunque…
¿Debo entregar TODA la documentación interna sobre el cumplimiento?

Si nos encontramos en una auditoría, no facilitar cierta documentación al equipo auditor resultaría perjudicial para nuestra empresa, dado que la imagen que se generaría sería sesgada o distorsionada sobre el nivel de cumplimiento.

En cambio, si pretendemos acreditar ante un tercero que en nuestra organización el tratamiento de datos se realiza conforme al Reglamento para que contrate nuestros servicios, tenemos que tener en cuenta que en esa documentación puede haber mucha información sensible sobre nuestra organización, como sería la información sobre los Sistemas Informáticos que utilizamos lo que podría comprometer la seguridad de los mismos o si facilitamos todos los folios de un contrato con uno de nuestro proveedores, podrá conocer todas las condiciones económicas que pueden ser confidenciales. Es decir, muchos de los documentos que acrediten el cumplimiento también contendrán información que no debemos compartir a la ligera porque pueden ser datos de carácter personal, puede ser información confidencial o que contenga información comercial que no queramos que pueda ser utilizada por los competidores.
Entonces, ¿qué documentación debo usar para acreditar el cumplimiento?

Dentro del Reglamento encontramos cierta documentación que debe estar a disposición de la Agencia Española de Protección de Datos, la cual no debería contener más información que aquella que acredite que el tratamiento es conforme a la norma y además ha sido generada exprofeso para cumplir con el Reglamento, como por ejemplo el Registro de Actividades del Tratamiento o las Evaluaciones de Impacto sobre la Protección de Datos. Parece que esta documentación sería idónea para este fin.

También todas las evidencias que comentábamos antes, contratos, medidas, controles, etc., se podrían utilizar, aunque restringiendo cierta información. Por ejemplo, si queremos demostrar que tenemos regulada la relación con un tercero, podremos remitir la cláusula de encargado del tratamiento que tenemos firmada sin que se envíe la información sobre el precio o condiciones del servicio, que no aportan nada al fin que perseguimos.
¿Y si un externo me audita o certifica?

Todas las auditorías y las certificaciones, siempre que se trate de una certificación NO oficial, es decir que no haya sido aprobada conforme al art. 42 del RGPD, no valdrá como una presunción de cumplimiento, aunque SÍ nos servirá para demostrar nuestra diligencia en el cumplimiento. Además, si podemos sustentar esa información con evidencias nos servirá para demostrar el cumplimiento.

¿Valdría con una declaración responsable?

La declaración responsable es un documento, regulado en la Ley 39/2015, que pretende agilizar los procesos administrativos, en el que el interesado manifiesta que cumple con unos requisitos normativos y que dispone de la documentación que acredita ese cumplimiento.

Partiendo de este concepto, en el sector público la demostración del cumplimiento del RGPD se podrá realizar primero mediante una declaración responsable, aunque posteriormente se tendrá que acreditar que efectivamente se cumple con los requisitos. Por lo tanto, también tendremos que guardar evidencias que demuestren que nuestros tratamientos son conforme al Reglamento, mientras que en el ámbito privado el documento tendrá el mismo valor que los certificados privados, es decir aquellos que no sean conforme al art. 42, el que nosotros personalmente demos al nombre de quien lo firme.
¿Y ante la Agencia Española de Protección de Datos?

Obviamente, si la Agencia nos requiere documentación, se deberá entregar toda la documentación que nos soliciten y aquella que consideremos oportuna para demostrar que el tratamiento de datos se realiza conforme a las estipulaciones del Reglamento y de las normas que resulten de aplicación, como podría ser la LOPD, su Reglamento de Desarrollo, la nueva LOPD cuando se apruebe, la LSSI, etc.

Día de Protección de Datos, en plena cuenta atrás para el nuevo reglamento  09-02-2018
El nuevo reglamento GDPR de la UE amenaza con multas del 4% de la facturación a partir de junio del 2018 si no se aplica la normativa.
La conmemoración este domingo del Día Internacional de la Protección de Datos se produce en plena cuenta atrás para que la nueva norma europea, que prevé millonarias multas para las empresas que la incumplan, sea de obligado cumplimiento, y en España ya han avisado de que no habrá prórrogas en su aplicación.
El Reglamento General de Protección de Datos (RGPD) entró en vigor el 25 de mayo de 2016, pero será a partir de este año cuando comience a aplicarse, ya que este periodo de dos años ha servido para que empresas y organizaciones que tratan datos personales vayan preparándose y adaptándose.
Pero una vez que llegue el día D, la norma se aplicará desde el "minuto uno", sin "régimen transitorio", ni plazos, ni prórrogas, han advertido desde la Agencia Española de Protección de Datos (AEPD), organismo que velará en España por su cumplimiento.

Evaluación de Impacto sobre Protección de Datos  06-02-2018
Por Vanesa González.

Responsable Departamento de Soporte de Aemol Consulting.

Las Evaluaciones de Impacto sobre Protección de Datos (“EIPD”), las situamos en el ámbito de las medidas o acciones preventivas que todas las empresas deben tener en cuenta antes de inicio del tratamiento de datos personales, siendo obligatorias cuando sea probable que se utilicen nuevas tecnologías por su naturaleza, alcance, contexto o fines y entrañe un riesgo para los derechos y libertadas de las personas físicas.

En este sentido el GT 29 (Grupo de Trabajo del Artículo 29) nos dice que la evaluación de impacto es un proceso orientado a descubrir en detalle las necesidades de tratamiento, evaluación de necesidades y ayuda a gestionar los riesgos y libertades, orientados a asegurar preventivamente el riesgo de dañar o perjudicar a las personas o afectar negativamente sus derechos y libertades impidiendo y limitando su ejercicio o contenido.

Además del carácter preventivo de la evaluación de impacto como indica el GT 29, el WP 248, (Documento publicado por el Grupo de Trabajo del Artículo 29), añade que dicha evaluación tiene que determinar con precisión a quién o quienes corresponden implantar las diferentes medidas resultantes de la misma; mientras que el artículo 35 del Reglamento General de Protección de Datos tipifica de forma particular los casos en que se debe o no se debe llevar a cabo la EIPD, dado que el legislador considera que se pueden dar riesgos elevados en los siguientes casos:
Tratamientos que impliquen una información sistemática y exhaustiva de aspectos personales con base tecnológica, la elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos para los interesados.
Tratamiento a gran escala de datos sensibles que hagan alusión a la raza, ideología, creencias, datos genéticos, salud, vida, orientación sexual…
La observación sistemática a gran escala de una zona de acceso público.
¿Quién está obligado a realizar una EIPD? El responsable, junto con el delegado de protección de datos y los encargados del tratamiento.
El responsable del tratamiento debe garantizar que la EIPD se lleva a cabo (artículo 35, apartado 2). Cualquier otra persona, de dentro o fuera de la organización, puede llevar a cabo una EIPD, pero el responsable del tratamiento sigue respondiendo en última instancia. El encargado del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado (artículo 35, apartado 2), y dicho asesoramiento, junto con las decisiones adoptadas por el responsable, debe ser documentado en la EIPD. El delegado de protección de datos también debe controlar la realización de la EIPD.

Por tanto y a todos los efectos, la utilidad más grande de los procesos de evaluación se producirá cuando se apliquen en paralelo a la definición de los procesos de tratamiento y antes de su implantación. Su importancia radica en el principio de responsabilidad proactiva puesto que, además de facilitarnos el cumplimento de la norma, nos permite poder demostrarlo.

Por razón de buenas prácticas, una EIPD debe ser continuamente revisada y reevaluada con regularidad. Por tanto, incluso si el 25 de mayo de 2018 no se requiera una EIPD, será necesario, en su momento, que el responsable del tratamiento lleve a cabo una evaluación de este tipo como parte de sus obligaciones generales de responsabilidad proactiva.



Ir a la pagina... 1  2  3  4  5  6  7  8  9  10  11  12  13  Pág. siguiente (2)

© 2002-2017 Aemol Consulting® · No te espiamos: no usamos cookies propias ni de terceros, pero puedes consultar nuestros avisos legales más abajo. En algunas páginas pueden contener cookies exclusivamente de navegación. No existen cookies de terceros ni se almacena dato alguno ajeno a esta sesión.
Consulta nuestro Código de Conducta 
Avisos Legales:
En virtud de la legislación vigente en España, le informamos de nuestros datos mercantiles: Aemol Consulting®, empresa domiciliada en Madrid con número de identificación Fiscal B87434148, registrada en el Registro Mercantil de Madrid Tomo 34195, Folio 10, Hoja M-615107. En el servidor donde se encuentra alojado este sitio no se almacena información alguna de los visitantes ni de los clientes. De cualquier forma, a través del correo electrónico, puede ejercitar sus derechos y acceder, modificar o dar de baja los datos personales que en virtud de nuestras relaciones comerciales pudieran existir en nuestros ficheros, todos ellos registrados en la Agencia española de Protección de Datos. Se reconoce la propiedad intelectual de las marcas mencionadas en este sitio web, a cada uno de sus respectivos propietarios. Toda la información gráfica como escrita recopilada en este sitio web pertenece y está ampara por copyright a favor de Aemol Consulting®. Aemol Consulting® no asume responsabilidad, y la declina explícitamente, alguna por los contenidos que puedan existir en otros sitios web que pudieran aparecer aquí vinculados o mencionados.