¿Qué dice el RGPD sobre el Delegado de Protección de Datos? (art. 37, 38 y 39 del RGPD)

A continuación podeis leer algunas de las cosas que nos indica el RGPD en cuanto a funciones y cometido del Delegado de Protección de Datos (artículos 37, 38 y 39 del Reglamento General de Protección de Datos)

 

Designación del delegado de protección de datos

  1.      El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
  • a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  • b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
  • c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

2.     Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento.

3.     Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

4.       En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.

5.       El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.

6.        El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

7.        El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.

 

Posición del delegado de protección de datos

1.        El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
2.        El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.

3.       El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.

4.       Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.

5.       El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.

6.       El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

 

Funciones del delegado de protección de datos

1.   El delegado de protección de datos tendrá como mínimo las siguientes funciones:

  • a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  • b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  • c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
  • d) cooperar con la autoridad de control;
  • e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

2.   El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

 

NO TE ARRIESGUES Y CONTACTA CON NOSOTROS SI NECESITAS UN DELEGADO DE PROTECCIÓN DE DATOS ESPECIALIZADO PARA TU ACTIVIDAD PROFESIONAL

PINCHA AQUÍ Y TE INFORMAREMOS DE NUESTROS SERVICIOS Y TARIFAS MENSUALES

La AEPD, INCIBE, AECOSAN y la Policía Nacional presentan una guía conjunta para comprar con seguridad en internet (fuente www.agpd.es)

fuente www.agpd.es

La iniciativa es el resultado de un trabajo conjunto para fomentar entre los usuarios la prevención y la concienciación antes, durante y después de realizar una compra online.

 

La ‘Guía práctica de compra segura en internet’, que está acompañada de siete fichas, recoge los derechos que asisten a los ciudadanos, así como recomendaciones

La privacidad, la seguridad, el consumo y la detección de prácticas delictivas o fraudulentas son algunos de los temas abordados
(Madrid, 18 de diciembre de 2017). La Agencia Española de Protección de Datos (AEPD), el Instituto Nacional de Ciberseguridad (INCIBE), la Agencia Española de Consumo, Seguridad Alimentaria y Nutrición (AECOSAN) y la Policía Nacional han presentado la Guía práctica de compra segura en internet, una publicación que adquiere especial relevancia con motivo de las compras navideñas.

La iniciativa es el resultado de un trabajo conjunto para ofrecer a los ciudadanos en una única publicación los consejos prácticos más relevantes a tener en cuenta antes, durante y después de realizar una compra online. La guía, disponible en las respectivas webs de estos organismos, está acompañada además de siete fichas que recogen de forma concisa recomendaciones de utilidad.

 

DESCÁRGATE AQUÍ LAS FICHAS

 

El sector del comercio electrónico facturó en España 24.185 millones de euros en 2016 y superó los 6.700 millones de euros en el primer trimestre de 2017. No obstante, según datos de INE, la mitad de los usuarios de internet que no han comprado online en el último año alega para ello una preocupación por la privacidad o la seguridad en el pago.

La Guía práctica de compra segura en internet recoge los derechos que asisten a los usuarios en los procesos de compra o contratación online, ofreciendo recomendaciones desde diversos enfoques: la privacidad, la seguridad, el consumo y la detección de prácticas delictivas o fraudulentas. El objetivo es que resulte de utilidad no sólo a los ciudadanos, como consumidores y usuarios de los servicios de comercio electrónico, sino también a las empresas que desarrollan su actividad en este ámbito, contribuyendo a fomentar un clima de confianza digital.

 

DESCÁRGATE AQUÍ LA GUÍA COMPLETA

 

La guía presentada hoy agrupa sus contenidos en cuatro bloques: qué aspectos se deben tener en cuenta antes de comprar o contratar un producto o servicio online; recomendaciones en caso de que el ciudadano decida comprar; qué derechos y garantías le asisten después de completar la compra, y cómo reclamar en caso de que sea necesario. Estos apartados se complementan con un decálogo de consejos básicos que recogen algunos de los aspectos más relevantes.

Cómo proteger el dispositivo desde el que se realiza la compra; identificar tiendas de confianza; detectar posibles fraudes; medios de pago recomendados; cómo configurar las cuentas de usuario; qué hacer ante la recepción de un producto defectuoso o qué derechos tiene el ciudadano sobre sus datos personales son algunos de los aspectos tratados tanto en la guía como en las fichas prácticas. Además, los temas planteados se complementan con enlaces a contenidos que amplían la información ofrecida en cada uno de los apartados.

Cómo utilizar el correo electrónico de forma segura (fuente: Centro Criptológico Nacional)

Actualmente el correo electrónico sigue siendo una de las herramientas más utilizadas por cualquier entorno corporativo para el intercambio de información a pesar de que en los últimos años han surgido multitud de tecnologías y herramientas colaborativas para facilitar la comunicación y el intercambio de ficheros.

El incremento y efectividad de la ingeniería social para engañar a los usuarios por medio de correos electrónicos ha modificado el paradigma de la seguridad corporativa.

Actualmente los cortafuegos perimetrales y la securización de los servicios expuestos a Internet no son contramedidas suficientes para proteger una organización de ataques externos. Algunas recomendaciones para utilizar el correo electrónico de forma segura:

• No abrir ningún enlace ni descargar ningún fichero adjunto procedente de un correo electrónico que presente cualquier indicio o patrón fuera de lo habitual.
• No confiar únicamente en el nombre del remitente. El usuario deberá comprobar que el propio dominio del correo recibido es de confianza. Si un correo procedente de un contacto conocido solicita información inusual contacte con el mismo por teléfono u otra vía de comunicación para corroborar la legitimidad del mismo.
• Antes de abrir cualquier fichero descargado desde el correo, hay que asegurarse de la extensión y no fiarse del icono asociado al mismo.
• No habilitar las macros de los documentos ofimáticos incluso si el propio fichero así lo solicita.
• No hacer clic en ningún enlace que solicite datos personales o bancarios.
• Tener siempre actualizado el sistema operativo, las aplicaciones ofimáticas y el
navegador (incluyendo los plugins/extensiones instaladas).
• Utilizar herramientas de seguridad para mitigar exploits de manera complementaria al software antivirus.
• Evitar hacer clic directamente en cualquier enlace desde el propio cliente de correo. Si el enlace es desconocido, es recomendable buscar información del mismo en motores de búsqueda como Google o Bing.
• Utilizar contraseñas robustas para el acceso al correo electrónico. Las contraseñas deberán ser periódicamente renovadas y si es posible utilizar doble autenticación.
• Cifrar los mensajes de correo que contengan información sensible.

De felicitaciones navideñas, whatsapp y protección de datos…

De que estamos en unas fechas donde queremos felicitar y desear lo mejor a todo el mundo… no cabe duda. Pero lo que much@s no saben es que podemos encontrarnos con un grandísimo lío si agregamos en el típico grupo de whatsapp a alguien que no desea ser incluido.

 

En estas cuestiones hay que ser precavido para no meter la pata, más aún si ese grupo, en lugar de un grupo de amigos, va a ser un grupo de clientes, el clásico grupo de mamis y papis del cole, o incluso para informar sobre la reserva de la cena de empresa (hora de la quedada, menú elegido, quién lleva el coche…).

 

¡¡Mucho ojo con tener el consentimiento PREVIO de la persona antes de incluirla en dichos grupos!!

Si no tenemos consentimiento por su parte estaremos vulnerando la Normativa de Protección de Datos y podríamos enfrentarnos a sanciones económicas

 

Y si no, que se lo pregunten a este hostelero que decidió incluir a los comensales de una reserva para una cena navideña:  PINCHA PARA VER LA NOTICIA EN “EL PAÍS”

 

Os dejamos con el enlace a una noticia de una sanción al Ayuntamiento de Boecillo, que también ha sufrido por este tema: PINCHA PARA VER LA NOTICIA EN “EL PLURAL.COM”

 

Acabando con un buen sabor de boca y un poco de humor, aquí teneis un guiño a los grupos que se forman sobre actividades del colegio (es gracioso, pero ¡acordaos de pedir consentimiento previo antes de agregar a alguien a un grupo! 🙂 ): PINCHA AQUÍ PARA TERMINAR EL ARTÍCULO CON UNA SONRISA 🙂

 

¡¡APROVECHAMOS PARA DESEAROS UNAS FELICES FIESTAS A TOD@S!!

ESPERAMOS QUE RECIBAIS TODAS LAS FELICITACIONES DE FORMA ESPECIAL, CON MUCHAS VISITAS Y ABRAZOS VIRTUALES DE VUESTROS SERES QUERIDOS, Y CON MENOS MENSAJES DE “COPIA Y PEGA” O DE “REENVÍO” A TRAVÉS DE UN GRUPO DE WHATSAPP.

AUNQUE TENGAMOS UNAS NAVIDADES DIFERENTES, ESTE AÑO TENEMOS QUE SER RESPONSABLES 🙂 🙂 🙂 🙂 🙂 

¡¡ ÚLTIMAS SEMANAS PARA UTILIZAR TU CRÉDITO FORMATIVO !!

 

Si tienes empleados en plantilla, recuerda que tienes hasta Diciembre al menos 420.- euros en formación para tus empleados para mejorar sus habilidades.

¡¡ NO OLVIDES QUE RECUPERAS EL 100% DEL IMPORTE !

Ponte en contacto con nosotros y elige la formación más acorde con su puesto de trabajo.

 

HAZ CRECER TU NEGOCIO FORMANDO UNA PLANTILLA PROFESIONAL Y DE CALIDAD

 

¡¡ Date prisa !! El año se acaba y el crédito que no utilizas, se pierde… 🙂 🙂

 

DESCÁRGATE NUESTRO NUEVO CATÁLOGO DISPONIBLE

 

 

 

¿Estoy obligado a designar un Delegado de Protección de Datos en mi empresa?

La respuesta es que NO TODOS LOS RESPONSABLES DE  TRATAMIENTO ESTÁN OBLIGADOS A DESIGNAR UN DELEGADO DE PROTECCIÓN DE DATOS (DPD – DPO) EN SU ACTIVIDAD.

 

El Artículo 37 del nuevo RGPD (aprobado desde 2016 pero de total aplicación en Mayo de 2018) dispone que:

El responsable y el encargado del tratamiento designarán un Delegado de Protección de Datos siempre que:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

 

NO HAY QUE DEJARSE ASUSTAR POR LAS EMPRESAS QUE ACTUALMENTE UTILIZAN EL DESCONOCIMIENTO O EL MIEDO PARA LA CONTRATACIÓN DE SUS SERVICIOS EN PROTECCIÓN DE DATOS PERSONALES

 

Siguiendo con el Artículo 37 del RGPD, leemos que “El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39. 6.”

Es decir, al Delegado de Protección de Datos, que deberá contar con conocimientos especializados del Derecho, y obviamente en protección de datos, que actuará de forma independiente, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado, pero el RGPD no exige que deba ser un jurista, aunque sí debe contar con ese conocimiento en Derecho anteriormente citado.  Fuente www.agpd.es

Continuando con el mismo Artículo, leemos también que “El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios”, con lo cual nos encontramos con unas funciones que puede desarrollar el propio personal del Responsable de Tratamiento, o que el propio RT puede contratar a través de un servicio externo a su actividad.

 

Lo importante es recalcar que en el 95% de los casos, el DPD – DPO será de carácter voluntario, ya que el concepto de “tratamiento de datos a gran escala” es primordial para aseverar la obligatoriedad de tal figura en nuestra actividad profesional.

La Policía Local controla el cumplimiento de la L.O.P.D. por parte de los profesionales del transporte (fuente: elperiodic.com)

Fuente: elperiodic.com

Pese a no ser un aspecto habitual del control del transporte público en la provincia, la unidad especializada de la Policía Local de Elche se interesa por asegurar que cualquier dato de carácter personal de clientes sea gestionado con el máximo rigor.

 

Pese a que la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal entró en vigor en enero de 2000, aún hoy existe un notable desconocimiento sobre su cumplimiento por parte de algunos sectores

 

A este hecho cabe añadir la incompleta gestión limitándose a dar el alta en la Agencia Estatal de Protección de Datos a través de Internet, sin desarrollo y cumplimiento de las normas establecidas según el nivel de seguridad, así como controles revisiones, altas y bajas de ficheros, etc.

En el transporte público no es habitual que los pasajeros proporcionen sus datos personales a los conductores, sin embargo cada vez es más común el pago mediante datáfono, cuyo comprobante ya obliga a iniciar este proceso. Además, en el caso de que el titular cuente con asalariados la mera gestión de nóminas también se incluye dentro de este tratamiento de datos de carácter personal.

Continuando con la vigilancia general del transporte público, especialmente en el Aeropuerto, sólo en el mes de julio se denunciaron a nueve taxistas, de los cuales únicamente uno de ellos pertenecía a Elche. Estas sanciones, aunque leves, pueden ir desde los 900 hasta los 40.000 euros, según gravedad y características particulares del denunciado.

ANTEPROYECTO DE LA NUEVA LOPD

FUENTE diariolaley.laley.es (Por Carlos B. Fernández)

El Consejo de Ministros del pasado día 24 de junio recibió del Ministerio de Justicia el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal del que, por su interés, reseñamos su principal contenido.

Esta ley orgánica consta de 78 artículos estructurados en ocho títulos, diez disposiciones adicionales, cinco disposiciones transitorias, una disposición derogatoria única y siete disposiciones finales.

 

Título I, Disposiciones generales (artículos 1 a 3)

Establece el objeto de la ley orgánica, que no es otro que la adaptación del ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, Reglamento General de Protección de Datos, y completar sus disposiciones.

Establece que el derecho fundamental de las personas físicas a la protección de datos de carácter personal, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.

Según la Exposición de motivos de la ley “Destaca la novedosa regulación de los datos referidos a las personas fallecidas, pues, tras excluir del ámbito de aplicación de la ley su tratamiento, se permite que los herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido, que por lo demás se podrán incorporar a un registro“.

También excluye del ámbito de aplicación los tratamientos que se rijan por disposiciones específicas, en referencia, entre otras, a la normativa que transponga la citada Directiva (UE) 2016/680, previéndose en la disposición transitoria quinta la vigencia de estos tratamientos con arreglo a la Ley Orgánica 15/1999 hasta que se apruebe la citada normativa.

 

Título II. Principios de protección de datos (arts. 4 a 20)

Se divide en dos capítulos: Principios generales de protección de datos (artículos 4 a 10) y Disposiciones aplicables a tratamientos concretos (arts. 11 a 20).

  • En primer lugar, se presumen exactos y actualizados los datos obtenidos directamente del propio afectado y se recoge expresamente el deber de confidencialidad, se regulan garantías específicas y se aplica el principio de minimización de datos para entender desproporcionado el tratamiento de los datos por quien carezca de competencia.

Dentro de lo que se viene denominando la “legitimación para el tratamiento”, se alude específicamente al consentimiento, que ha de proceder de una declaración o de una clara acción afirmativa del afectado, excluyendo lo que se conocía como “consentimiento tácito”, se permite la casilla no premarcada en el ámbito de la negociación o formalización de un contrato, y se fija la edad a partir de la cual el menor puede prestar su consentimiento en trece años para asimilar el sistema español al de otros Estados de nuestro entorno.

Se regulan asimismo las posibles habilitaciones legales para el tratamiento que se derive del ejercicio de potestades públicas o del cumplimiento de una obligación legal y se prevé que el interés legítimo de un determinado responsable o de un determinado tercero pueda prevalecer sobre el derecho a la protección de datos del afectado. Y se mantiene la prohibición de llevar a cabo tratamientos con la única finalidad de almacenar información referida a las categorías de datos especialmente protegidos.

En el Capítulo II se recogen las disposiciones aplicables a tratamientos concretos, que que son los supuestos antes sometidos a regímenes especiales, en los que se considera de aplicación la regla del equilibrio de intereses o ponderación del interés legítimo como base jurídica para el tratamiento.

  • En segundo lugar, figuran las categorías que ya eran objeto de una regulación específica, legal o reglamentaria, como los sistemas de información crediticia, complementado por una disposición adicional, los tratamientos realizados con fines de videovigilancia y los sistemas de exclusión publicitaria comúnmente denominados “listas Robinson”, los tratamientos llevados a cabo en el ámbito de la función estadística pública o, como novedad, los sistemas de información de denuncias internas en el sector privado.

 

Título III. Derechos de las personas (arts. 21 a 29)

Se divide en tres capítulos: Transparencia e información (art. 21); Ejercicio de los derechos (arts. 22 a 28) y Obligación de bloque (art. 29).

  • El primero adapta al Derecho español el principio de transparencia en el tratamiento del reglamento europeo, que regula el derecho de los afectados a ser informados acerca del tratamiento, se recoge la denominada “información por capas” ya generalmente aceptada en ámbitos como el de la videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales como las “cookies”).
  • También se hace uso en este título de la habilitación permitida por el considerando 8 del Reglamento (UE) 2016/679 para complementar su régimen, garantizando la adecuada estructura sistemática del texto. A continuación, la ley orgánica contempla los derechos de acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad.
  • La obligación de bloqueo garantiza la adecuada aplicación y supervisión del cumplimiento de las normas de protección de datos.

 

Título IV. Responsable y encargado del tratamiento (arts. 30 a 33)

Se divide en cuatro capítulos: Disposiciones generales. Medidas de responsabilidad activa (arts. 30 a 33); Encargado del tratamiento (art. 34); Delegado de protección de datos (arts. 35 a 38) y Códigos de conducta y certificación (arts. 39 y 40).

La Ley Orgánica mantiene la misma denominación del Capítulo IV del Reglamento, una de cuyas mayores novedes es el paso de un modelo basado en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa. Esto exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan.

De esta manera, la ley orgánica recoge la destacada importancia que el delegado de protección de datos adquiere en el RGPD. Para ello se parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica.

La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente. La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona.

Los conocimientos en la materia se podrán acreditar mediante esquemas de certificación. El responsable o el encargado deberán dotar al delegado de medios materiales y personales suficientes y no podrán removerle, salvo en los supuestos de dolo o negligencia grave.

Es de destacar que el delegado de protección de datos permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento.

 

Título V. Transferencias internacionales de datos (arts. 41 a 45)

Adapta lo previsto en el RGPD y se refiere a las especialidades relacionadas con los procedimientos a través de los cuales las autoridades de protección de datos pueden aprobar modelos contractuales o normas corporativas vinculantes, supuestos de autorización de una determinada transferencia, o información previa.

 

Título VI. Autoridades de protección de datos (arts. 45 a 63)

Se organiza en dos capítulos: I. La Agencia Española de Protección de Datos, dividido en tres secciones: Disposiciones Generales (arts. 45 a 51), Potestades de investigación y planes de auditoría preventiva (arts. 52 a 55) y Otras potestades de la Agencia Española de Protección de Datos (arts. 56 y 57) y II. Autoridades autonómicas de protección de datos, dividido en dos secciones: Disposiciones generales (arts. 58 a 60) y Coordinación en el marco de los procedimientos establecidos en el Reglamento (UE) 2016/679 (arts. 61 a 63).

La ley orgánica regula el régimen de la Agencia Española de Protección de Datos manteniendo su esquema anterior, reflejando refleja la existencia de las autoridades autonómicas de protección de datos y la necesaria cooperación entre las autoridades de control.

La Agencia Española de Protección de Datos se configura como una autoridad administrativa independiente con arreglo a la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que se relaciona con el Gobierno a través del Ministerio de Justicia.

 

Título VII. Procedimiento en caso de reclamaciones tramitadas por la Agencia Española de Protección de Datos (arts. 64 a 69)

El Reglamento (UE) 2016/679 establece un sistema novedoso y complejo, evolucionando hacia un modelo de “ventanilla única” en el que existe una autoridad de control principal y otras autoridades interesadas. También se establece un procedimiento de cooperación entre autoridades de los Estados miembros y, en caso de discrepancia, se prevé la decisión vinculante del Comité Europeo de Protección de Datos. En consecuencia, con carácter previo a la tramitación de cualquier procedimiento, será preciso determinar si el tratamiento tiene o no carácter transfronterizo y, en caso de tenerlo, qué autoridad de protección de datos ha de considerarse principal.

La regulación se limita a delimitar el régimen jurídico; la iniciación de los procedimientos, siendo posible que la Agencia Española de Protección de Datos remita la reclamación al delegado de protección de datos o a los órganos o entidades que tengan a su cargo la resolución extrajudicial de conflictos conforme a lo establecido en un código de conducta; la inadmisión de las reclamaciones; el plazo de tramitación de los procedimientos y, en su caso, su suspensión; las actuaciones previas de investigación; y las medidas provisionales, entre las que destaca el bloqueo de los datos. Las especialidades del procedimiento se remiten a desarrollo reglamentario.

 

Título VIII. Régimen sancionador (arts. 70 a 78)

Dado que el Reglamento (UE) 2016/679  establece un sistema de sanciones o actuaciones correctivas sumamente genérico, en el que no se tipifican las conductas ni se establecen las reacciones concretas ante su comisión, la ley orgánica procede a describir las conductas típicas, manteniendo la distinción entre infracciones muy graves, graves y leves, a la vista de la diferenciación que el Reglamento general de protección de datos establece al fijar la cuantía de las sanciones.

En cuanto a los plazos de prescripción, la ley orgánica regula los supuestos de su interrupción partiendo de la exigencia constitucional del conocimiento de los hechos que se imputan a la persona, pero teniendo en cuenta la problemática derivada de los procedimientos establecidos en el reglamento europeo, en función de si el procedimiento se tramita exclusivamente por la Agencia Española de Protección de Datos o si se acude al procedimiento coordinado del artículo 60 del Reglamento general de protección de datos.

La ley orgánica aprovecha la cláusula residual del artículo 83.2 de la norma europea, referida a los factores agravantes o atenuantes, para aclarar que entre los elementos a tener en cuenta podrán incluirse los que ya aparecían en el artículo 45.4 y 5 de la Ley Orgánica 15/1999, y que son conocidos por los operados jurídicos.

 

Disposiciones adicionales (1.ª a 10.ª)

Se refieren a cuestiones como las medidas de seguridad en el ámbito del sector público, protección de datos y transparencia y acceso a la información pública, cómputo de plazos o autorización judicial en materia de transferencias internacionales de datos, entre otros.

 

Disposiciones transitorias

Están dedicadas al estatuto de la Agencia Española de Protección de Datos, el régimen transitorio de los procedimientos o los tratamientos sometidos a la Directiva (UE) 2016/680. Se recoge únicamente una disposición derogatoria y, a continuación, figuran las disposiciones finales sobre los preceptos con carácter de ley ordinaria, el título competencial, las modificaciones necesarias de la legislación sectorial y la entrada en vigor.

 

Disposición derogatoria única

Sin perjuicio de lo previsto en las disposiciones transitorias cuarta y quinta, quedan derogadas la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y cuantas disposiciones de igual o inferior rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica.

 

Disposiciones finales

  • La primera regula la naturaleza de la presente ley, que tiene el carácter de ley orgánica, a excepción del Capítulo II del Título II, el Título VI, salvo el artículo 61, el Título VII, el Título VIII, las disposiciones adicionales, salvo la disposición adicional segunda, las disposiciones transitorias y las disposiciones finales, salvo esta disposición final primera
  • La segunda, su título competencial.
  • La tercera introduce una nueva letra h) en el apartado 3 del artículo 26 de la Ley 50/1997, de 27 de noviembre (LA LEY 4058/1997), del Gobierno.
  • La cuarta modifica el artículo 15 bis (Intervención en procesos de defensa de la competencia y de protección de datos) de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil (LA LEY 58/2000) .
  • La quinta modifica la rúbrica del artículo 8 de la Ley 19/2013, de 9 de diciembre (LA LEY 19656/2013), de transparencia, acceso a la información y buen gobierno, que pasa a ser la siguiente: «Artículo 8. Información económica, presupuestaria, estadística y sobre tratamiento de datos de carácter personal.»
  • La sexta modifica los apartados 2 y 3 del artículo 28; añade un párrafo tercero al artículo 46; añade un párrafo segundo a la letra c) del apartado 1 del artículo 53 y añade un apartado 3 a la disposición adicional primera de la Ley 39/2015, de 1 de octubre, de procedimiento administrativo común de las Administraciones Públicas (LA LEY 15010/2015)

 

La nueva LOPD entrará en vigor el 25 de mayo de 2018, el mismo día en que comience a ser aplicable el RGPD

 

ACCEDE AL TEXTO COMPLETO DEL ANTEPROYECTO PINCHANDO AQUÍ

Big Data y el nuevo Reglamento General de Protección de Datos

Seguimos con novedades en lo referente al nuevo RGPD.

 

En esta ocasión, os dejamos un enlace a la guía que la AEPD ha publicado en su web sobre lo que hay que tener en cuenta a la hora de trabajar un proyecto de Big Data. Podeis descargarlo y consultarlo cuando querais.

 

Quiero consultar el “Código de buenas prácticas en protección de datos para proyectos de Big Data”

 

¡Esperamos que os sea de ayuda! 🙂 🙂

Administración de Fincas y LOPD – RGPD (fuente AGPD)

A día de hoy nos encontramos que infinidad de comunidades de propietarios aún no cumplen con la actual LOPD y no están registradas en la Agencia de Protección de Datos.

 

Este es un hecho que puede acarrear graves consecuencias económicas para la comunidad en el caso de que haya alguna incidencia en este aspecto.

 

Recordamos la importancia de contar con el asesoramiento de profesionales para llevar a cabo las obligaciones legales con la LOPD y el RGPD

 

Para que la relación entre la comunidad de propietarios (responsable) y el administrador (encargado del tratamiento) se ajuste a la normativa de protección de datos, es preciso que se cumplan las siguientes condiciones:

 

  • Que el acceso a los datos por el administrador de fincas se efectúe con la exclusiva finalidad de prestar un servicio al responsable del fichero, y que dicha relación de servicios se encuentre contractualmente establecida.

 

  • La relación contractual deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido.

 

  • Se establecerá expresamente que el administrador de fincas únicamente tratará los datos conforme a las instrucciones de la comunidad de propietarios, y que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

 

  • El administrador de fincas debe limitarse a emplear los datos en el ámbito de las funciones de la comunidad de propietarios que le haya designado.

 

  • Se entiende que el administrador de fincas actúa conforme a las instrucciones del responsable del tratamiento cuando, en el ejercicio de sus funciones, trata los datos de los propietarios contenidos en los ficheros que custodia.

 

  • Al término de su relación, el administrador de fincas deberá devolver a la comunidad de propietarios todos los soportes y/o documentos en los que consten datos de carácter personal objeto de tratamientos de datos.

 

  • No obstante, el administrador podrá conservar, debidamente bloqueados, los datos personales objeto de tratamiento en tanto pudieran derivarse responsabilidades de su relación con la comunidad de propietarios.

 

  • En el régimen de propiedad horizontal, el administrador de fincas, que ejerce la administración de una o de varias comunidades por encargo del responsable, actúa como encargado del tratamiento

 

  • Las medidas de seguridad que hayan de ser adoptadas por los administradores que realicen tratamientos de datos por cuenta de comunidades serán las mismas que las que sean exigibles al responsable.

 

  • En el supuesto de que el administrador incumpliera estas obligaciones, destinando los datos a otra finalidad, comunicándolos a terceras personas o utilizándolos en contra de lo previsto en el contrato, podrá ser considerado responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

 

  • Para tratar datos de carácter personal de los copropietarios de una finca en virtud de un encargo de servicios y/o gestiones diferentes de las comprendidas en la LPH, el administrador de fincas deberá contar con el consentimiento específico e informado de todos los afectados.

 

Si necesitas ayuda de un experto en materia de Protección de Datos, no dudes en enviarnos un email a info@clydesa.es