el comercio electrónico y la nueva lopdgdd (desarrollo del ... · 3.3.1. el consentimiento de los...
TRANSCRIPT
Página 1 de 34
El comercio electrónico y la nueva LOPDGDD (desarrollo del RGPD en nuestro
ordenamiento jurídico).
Autor: Albert Conde Olano
Cargo: Co-presidente de la sección de tecnologías de la información y la comunicación del ICAT.
Página 2 de 34
1. Introducción. 3
2. Comercio electrónico y cumplimiento de la LOPD. Análisis de las obligaciones
existentes hasta la entrada en aplicación del RGPD y de la LOPGDD. 3
3. Entrada en aplicación del RGPD y de la LOPDGDD. Qué ha cambiado para los
Comercios Electrónicos y para sus usuarios. 4
3.1. El punto de partida. La privacidad desde el diseño y la privacidad por defecto. 4
3.2. Los principios que establece el RGPD en materia de protección de datos (art. 5
RGPD). 4
3.3. Base legal para el tratamiento de datos de carácter personal (art. 6 RGPD) para
los Comercios Electrónicos. La licitud en el tratamiento. 6
3.3.1. El consentimiento de los menores de edad. Especial atención al comercio electrónico. 7
3.4. Las categorías especiales de datos (art. 9 RGPD y LOPGDD). 8
3.5. El deber de información por parte de los comercios electrónicos (art. 11 A 14
RGPD). 9
3.6. Los nuevos derechos: acceso, rectificación, supresión (derecho al olvido),
limitación en el tratamiento, portabilidad y oposición (arts. 15 a 23 RGPD y 12 a 18
LOPDGDD). 10
3.6.1. Disposiciones generales aplicables al ejercicio de los derechos A.R.S.O.L.P. (art. 12
LOPGDD). 10
3.6.2. El derecho de acceso (art. 15 RGPD y art. 13 LOPDGDD). 12
3.6.3. El derecho de rectificación (art. 16 RGPD y art. 14 LOPDGDD). 13
3.6.4. El derecho de supresión (art. 17 RGPD y art. 15 LOPDGDD). 13
3.6.5. El derecho de limitación en el tratamiento (art. 18 RGPD y art. 16 LOPDGDD). 14
3.6.6. El derecho de portabilidad (art. 20 RGPD y art. 17 LOPDGDD). 15
3.6.7. El derecho de oposición (art. 21 RGPD y art. 18 LOPDGDD). 15
3.7. Tratamientos concretos (arts. 19 a 27 LOPDGDD). 16
3.9 Elección y contrato con los encargados de tratamiento. 18
3.10. La notificación de violaciones de seguridad (art. 33 y 34 RGPD). 19
3.11. Herramientas que deberán aplicar todos los responsables y encargados de
tratamiento. 21
3.11.1. El delegado de protección de datos. 21
3.12. Transferencia internacional de datos. 31
3.13. Régimen sancionador. 33
4. Estado de cumplimiento. 33
Página 3 de 34
1. Introducción.
El pasado 25.mayo.2018 entró en aplicación el Reglamento (UE) 2016/679 del Parlamento
Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo
que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y
completar sus disposiciones.
Posteriormente se publica la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y garantía de los derechos digitales, que permite al legislador estatal desarrollar
determinados aspectos del Reglamento, con entrada en vigor desde el 7.Diciembre.2018.
2. Comercio electrónico y cumplimiento de la LOPD. Análisis de las obligaciones existentes hasta la entrada en aplicación del RGPD y de la LOPGDD.
Las obligaciones existentes hasta el momento de la entrada en vigor del RGPD para todos aquellos
responsables de tratamiento (a partir de este momento RT) y encargados de tratamiento (a partir
de este momento ET) venían recogidas en los siguientes cuerpos normativos:
- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en
adelante, LOPD).
- El Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal (en
adelante, RLOPD). Es la norma de desarrollo de la LOPD, amplía las prescripciones de la LOPD e
incluye previsiones específicas en materia de seguridad.
Si resumimos, a groso modo, las principales obligaciones a las cuales se tenían que enfrentar
serían las siguientes:
- Registro de ficheros ante la A.E.P.D. (clientes, proveedores, usuarios web...) Esta obligación
desaparece con el nuevo RGPD.
- Tener un documento de seguridad actualizado, donde se recogían las medidas de
seguridad técnicas y organizativas que debían cumplir para garantizar la protección,
confidencialidad, integridad y disponibilidad de los recursos afectados por las disposiciones
de la LOPD y del RLOPD.
- Firmar compromisos de confidencialidad con los trabajadores ( si es que se tenían).
- Firmar los compromisos de tratamiento con los diferentes encargados de tratamiento de
datos de carácter personal.
Página 4 de 34
- Incluir cláusulas informativas y recoger el consentimiento para el tratamiento de datos de
carácter personal.
- Establecer políticas de privacidad en los sitios web y articular consentimiento en la
recogida de datos de carácter personal a través del sitio web.
- Atender Derechos ARCO (acceso, rectificación, cancelación y oposición).
3. Entrada en aplicación del RGPD y de la LOPDGDD. Qué ha cambiado para los Comercios Electrónicos y para sus usuarios. 3.1. El punto de partida. La privacidad desde el diseño y la privacidad por defecto.
El RGPD apuesta por un enfoque más proactivo, ello quiere decir que los RT y ET deberán analizar
qué tipo de datos personales tratarán en el ejercicio de su actividad, y qué peligros puede
entrañar este tratamiento de datos, y basándonos en ello, adoptar las medidas técnicas y
organizativas adecuadas, a fin de poder establecer las medidas de seguridad que consideren más
adecuadas y proporcionales, para evitar que terceros no autorizados puedan tener acceso a los
datos de carácter personal, o sean modificados o eliminados.
De esta manera el responsable de tratamiento y el encargado de tratamiento planificará con
anterioridad a tratar los datos de carácter personal, las medidas de seguridad más adecuadas que
implantará (privacidad desde el diseño), y menos invasivas para los datos que trata, es decir, que
tratará únicamente los datos imprescindibles para la finalidad para la que se han recogido
(privacidad por defecto).
La finalidad última del RGPD es reducir al máximo los riesgos que todo tratamiento conlleva, no la
eliminación del riesgo. Éste siempre existirá cuando tratamos datos de carácter personal.
3.2. Los principios que establece el RGPD en materia de protección de datos (art. 5 RGPD).
Los principios en materia de protección de datos deben aplicarse a toda la información relativa a
una persona física identificada o identificable. Dichos principios son:
a) Licitud, lealtad, transparencia.
Se introduce el principio de transparencia: la información otorgada por los responsables de
tratamiento y encargados de tratamiento debe ser concisa, fácilmente accesible y fácil de
entender. Recogidos con fines determinados, explícitos y legítimos, y no serán tratados
ulteriormente de manera incompatible con dichos fines (limitación de la finalidad).
Página 5 de 34
El principio de transparencia obliga tanto al RT como al ET a que toda información y comunicación
relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender.
A ello hemos de sumar los nuevos derechos de los interesados, en nuestro caso usuarios y
clientes, siendo los mismos:
a. derecho de acceso,
b. rectificación,
c. supresión (derecho al olvido),
d. oposición,
e. limitación del tratamiento,
f. portabilidad sobre sus datos personales.
b) Adecuados, pertinentes, y limitados
Los datos de carácter personal que se vayan a tratar han de ser adecuados, pertinentes, y
limitados a lo necesario en relación con los fines para los que son tratados (minimización de
datos)
c) Exactos
Los datos de carácter personal han de ser exactos y si fuera necesario actualizados. Se añade por
tanto la obligación de actuar de oficio si los datos son incorrectos o innecesarios, no sólo a la
espera de que el usuario ejercite los derechos de rectificación, cancelación.
El RT no incurrirá en responsabilidad ante la A.E.P.D. de la inexactitud de los datos, siempre que se
hayan adoptado las medidas razonables para que se supriman o rectifiquen sin dilación, la
inexactitud de los datos personales cuando:
a. Hubiesen sido obtenidos por el responsable directamente del afectado.
b. Hubiesen sido obtenidos por el responsable de un mediador o intermediario en caso de
que las normas aplicables al sector de actividad al que pertenezca el responsable del
tratamiento establecieran la posibilidad de intervención de un intermediario o mediador
que recoja en nombre propio los datos de los afectados para su transmisión al responsable.
El mediador o intermediario asumirá las responsabilidades que pudieran derivarse en el
supuesto de comunicación al responsable de datos que no se correspondan con los
facilitados por el afectado.
c. Fuesen sometidos a tratamiento por el responsable por haberlos recibido de otro
responsable en virtud del ejercicio por el afectado del derecho a la portabilidad conforme
al artículo 20 del Reglamento (UE) 2016/679 y lo previsto en esta ley orgánica.
Página 6 de 34
d. Fuesen obtenidos de un registro público por el responsable.
d) Limitados en el tiempo de conservación
Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo
del necesario para los fines del tratamiento. Cómo mínimo, se recomiendan los siguientes plazos
de conservación:
i. cuatro años en caso de mandato tributario,
ii. cinco años para la formulación, ejercicio o la defensa de reclamaciones, y
iii. seis años respecto los libros de contabilidad, facturas y
iv. diez años en aquello que afecte a la Ley 10/2010 y el RD 304/2014 de Prevención de
Blanqueo de Capitales y Financiación del Terrorismo.
e) Integridad y confidencialidad de los datos de carácter personal.
Los datos de carácter personal deben ser tratados de tal manera que se garantice una seguridad
adecuada mediante la aplicación de medidas de control apropiadas, por lo que se deben tratar los
datos de manera que se garantice su seguridad, y que los mismos sean confidenciales.
Será el responsable de tratamiento quien debe cumplir estos principios, y además debe ser capaz
de demostrarlo. Recae sobre el RT la carga probatoria.
3.3. Base legal para el tratamiento de datos de carácter personal (art. 6 RGPD) para los Comercios Electrónicos. La licitud en el tratamiento.
El artículo 6 del RGPD establece las diferentes bases que legitiman el tratamiento de datos
personales, y por tanto, establece cuando dichos tratamientos será lícitos.
Así pues, estaremos ante tratamientos lícitos cuando:
a) El tratamiento se base en el consentimiento previo otorgado por el propio interesesado (art.
6.1.a. RGPD.). En el caso concreto, en el formulario de recogida de datos de carácter personal de
los usuarios, previo a la celebración del contrato de prestación de servicio (ej. venta producto
fisico a través de sitio web), implantar una casilla de verificación no premarcada donde se solicite
el consentimiento.
b) El tratamiento sea necesario para a ejecución de un contrato en el que el interesado es parte o
para la aplicación a petición de este de medidas precontractuales (art. 6.1.b).
Página 7 de 34
Asimismo, el art. 6 de la LOPGDD define que se entiende por consentimiento del
interesado/afectado:
Toda manifestación de voluntad libre, específica, informada e inequívoca por la que este
acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de
datos personales que le conciernen.
En todo caso, cuando se pretenda fundar el tratamiento de los datos en el consentimiento del
afectado para una pluralidad de finalidades será preciso que conste de manera específica e
inequívoca que dicho consentimiento se otorga para todas ellas.
Es importante señalar que no podrá supeditarse la ejecución del contrato a que el afectado
consienta el tratamiento de los datos personales para finalidades que no guarden relación con el
mantenimiento, desarrollo o control de la relación contractual.
3.3.1. El consentimiento de los menores de edad. Especial atención al comercio electrónico.
Si bien el artículo 8.1 párrafo segundo del RGPD, no consideraba lícito el tratamiento de
datos personales de un niño menor de 16 años en relación con la oferta directa a niños de
servicios de la sociedad de la información, salvo que los Estados miembros establecieran por
ley una edad inferior, el legislador estatal ha optado en su artículo 7 por establecer como
lícito el tratamiento de datos de carácter personal de los menores cuando estos sean mayor
de 14 años, en cualquiera de los casos.
Resumiendo, que el consentimiento para el tratamiento de datos de carácter personales,
podrá prestarse por el propio menor, cuando éste sea mayor de 14 años.
Pero cuidado: se exceptúan los supuestos en que la ley exija la asistencia de los titulares de
la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto
se recaba el consentimiento para el tratamiento. Por ende, cuidado con aquellos contratos
celebrados a distancia con menores de edad, a través de un sitio web, porqué quién debiere
prestar su consentimiento será los titulares de de la patria potestad o tutela, y en caso
contrario, dicho tratamiento puede ser considerado como ilícito, aunque el menor tenga 14
años. Recordemos que estos contratos pueden ser impugnados por los titulares de la patria
potestad o los tutores, declarándose nulos y será como si nunca hubiera existido.
Recomendaciones:
Página 8 de 34
En nuestros sitios web establecer en los formularios de contacto varias casillas de verificación no
premarcadas en las cuales se obligue al usuario a:
- informar sobre si el usuario es mayor de edad (obligando a poner una fecha de
nacimiento, por ejemplo)
- obligar a aceptar la política de privacidad y protección de datos, con un link que redirija a
la página web donde se recoge la misma.
3.4. Las categorías especiales de datos (art. 9 RGPD y LOPGDD).
Nos encontramos ante categorías especiales de datos cuando tratamos:
a. Datos que revelen el origen étnico o racial.
b. Datos que revelen las opiniones políticas, las convicciones religiosas o filosóficas.
c. Datos que revelen la afiliación sindical.
d. Datos que revelen el tratamiento de datos genéticos.
e. Recabamos datos biométricos dirigidos a identificar de manera unívoca a una persona
física.
f. Recabamos datos relativos a la salud .
g. Recabamos datos relativos a la vida sexual o la orientación sexual de una persona física.
Por norma general se prohibe el tratamiento de dichos datos cuando la finalidad última
establecida por el RT y el ET sea única y exclusivamente la de identificar ideología, afiliación
sindical, religión, orientación sexual, creencias u origen racial o étnico.
Para el resto de casos, en los que existe un tratamiento de datos de categoría especial deberemos
recabar el consentimiento expreso del interesado/afectado, salvo que esos datos se hayan hecho
manifiestamente públicos por parte del interesado.
En cualquier caso, por norma general en los contratos celebrados a distancia, el tratamiento de
dichas categorías especiales no debería efectuarse. Siempre que pensamos en comercio
electrónico, por norma general, tenemos en mente la compra-venta de productos físicos o
digitales a través de un sitio web o bien la prestación de servicios que no impliquen el tratamiento
de dichas categorías de datos recogidas en el art. 9 RGPD y LOPDGDD.
Página 9 de 34
3.5. El deber de información por parte de los comercios electrónicos (art. 11 A 14 RGPD).
La información mínima que deberá poner a disposición del usuario el RT y el ET será la siguiente
(art. 13. RGPD y 11 LOPDGDD):
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del
tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses
legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer país u
organización internacional y la existencia o ausencia de una decisión de adecuación de la
Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo
49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los
medios para obtener una copia de estas o al hecho de que se hayan prestado.
g) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible,
los criterios utilizados para determinar este plazo;
h) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos
personales relativos al interesado, y su rectificación o supresión, o la limitación de su
tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los
datos;
i) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9,
apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier
momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento
previo a su retirada;
j) el derecho a presentar una reclamación ante una autoridad de control;
Página 10 de 34
k) si la comunicación de datos personales es un requisito legal o contractual, o un requisito
necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos
personales y está informado de las posibles consecuencias de que no facilitar tales datos;
l) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se
refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa
sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho
tratamiento para el interesado.
Recomendaciones
Para ello, en el sitio web deberemos crear una página con el título política de privacidad, y dentro
de la misma establecer toda la información reseñada anteriormente. Igualmente, en la captación
de la información en los formularios de compra, volvemos a reseñar la obligación de establecer
una casilla no premarcada en la que se introduzca un link que derive a la política de privacidad.
3.6. Los nuevos derechos: acceso, rectificación, supresión (derecho al olvido), limitación en el tratamiento, portabilidad y oposición (arts. 15 a 23 RGPD y 12 a 18 LOPDGDD).
3.6.1. Disposiciones generales aplicables al ejercicio de los derechos A.R.S.O.L.P. (art. 12 LOPGDD).
El presente artículo recoge una serie de disposiciones aplicables a todos los derechos, y que no
venían reguladas en el RGPD, entre ellos:
- Pueden ejercerse directamente por el interesado o por medio de representante legal o
voluntario.
- Obligación del RT de informar al afectado sobre los medios a su disposición para ejercer los
derechos que le corresponden. Los medios deberán ser fácilmente accesibles para el afectado.
El ejercicio del derecho no podrá ser denegado por el solo motivo de optar el afectado por otro
medio.
- El ET podrá tramitar, por cuenta del RT, las solicitudes de ejercicio formuladas por los afectados
de sus derechos si así se estableciere en el contrato o acto jurídico que les vincule.
- Es el RT quien ha de demostrar que ha respondido a la solicitud del ejercicio de los derechos
formulados, ello implica guardar todas las peticiones de ejercicio de derechos formulados por
los interesados.
Página 11 de 34
- Cuando las leyes aplicables a determinados tratamientos establezcan un régimen especial que
afecte al ejercicio de los derechos previstos en el Capítulo III del Reglamento (UE) 2016/679, se
estará a lo dispuesto en aquellas.
- Los titulares de la patria potestad (progenitores o tutores) podrán ejercitar en nombre y
representación de los menores de catorce años los derechos de acceso, rectificación,
cancelación, oposición o cualesquiera otros que pudieran corresponderles en el contexto de la
presente ley orgánica.
El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado sin
dilación indebida y a más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no
fuera a atenderlas.
En atención a la complejidad de la petición o de la multitud de peticiones se podrá prorrogar un
mes más, siempre comunicando al interesado dentro del plazo del mes dicha prórroga.
Si incumple el RT con su obligación, deberá dar información de su no actuación y de la posibilidad
de reclamar ante la autoridad de control y de ejercitar acciones judiciales.
La información derivada del ejercicio de derechos se realizará con gratuidad, salvo en las
solicitudes manifiestamente infundadas, excesivas o repetitivas, en que, podrá cobrarse un canon,
o negarse a actuar.
Además, y una novedad que ha traído consigo la LOPDGDD el artículo 37 de la LOPDGDD habilita a
los afectados, con carácter previo a la presentación de una reclamación contra aquéllos ante la
Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de
protección de datos, a dirigirse al delegado de protección de datos de la entidad contra la que se
reclame, obligando al delegado de protección de datos a comunicar al afectado su decisión en el
plazo de dos meses a contar desde la recepción de la reclamación.
Así mismo, se habilita a la autoridad de control, en nuestro caso la Agencia Española de Protección
de Datos (a partir de este momento A.E.P.D.), a remitir la reclamación interpuesta por el afectado
ante esta al delegado de protección de datos, otorgándole el plazo de un mes para responder.
Transcurrido dicho plazo, en caso de que el delegado de protección de datos no conteste a dicha
reclamación, la A.E.P.D. continuará con el procedimiento por posible vulneración de la normativa
de protección de datos.
Página 12 de 34
3.6.2. El derecho de acceso (art. 15 RGPD y art. 13 LOPDGDD).
Los interesados deben tener derecho a acceder a los datos personales recogidos que le
conciernan y a ejercer dicho derecho con facilidad, con el fin de conocer y verificar la licitud del
tratamiento.
Deben poder obtener información sobre:
a. Fines del tratamiento
b. Categorías de datos que se traten
c. Destinatarios de los datos, en particular terceros países o organizaciones
internacionales.
d. De ser posible, el plazo de conservación de dichos datos, o criterios para determinar
dicho plazo.
e. Existencia del derecho a solicitar rectificación o supresión, limitación u oposición al
tratamiento.
f. Derecho a presentar una reclamación frente la autoridad de control.
g. Si los datos no se han obtenido del interesado, cualquier información sobre su
origen.
h. La existencia de decisiones automatizadas
La forma de hacer efectivo el derecho:
-Facilitando copia de los datos al interesado (visualización en pantalla,, escrito, copia o
fotocopia remitida por correo certificado o no, fax, correo electrónico...).
- Pudiendo percibir el RT un cánon por copias adicionales por costes administrativos
para el caso de acceso repetitivo.
- Si la solicitud se realiza en formato electrónico, se le dará la misma en formato electrónico
de uso común, a no ser que manifieste otra cosa.
Ahora bien, la nueva LOPDGDD establece una serie de criterios a tener en cuenta para
determinados supuestos, véase:
- Se permite al RT solicitar al interesado, antes de contestar a la petición de derecho de acceso,
aquellos datos a los que quiera tener acceso, en el caso de que disponga de múltiples del afectado.
- Si el RT tiene un sistema remoto, permanente, directo y seguro de acceso a los datos personales
del interesado a los que éste puede acceder, se tendrá por otorgado el derecho de acceso.
Ejemplo: una página web con un apartado del usuario, dónde se éste pueda acceder a comprobar
que datos se están tratando.
Página 13 de 34
En caso de que no estén en dicha base de datos algún dato solicitado por el interesado, este podrá
ejercitar dicho derecho sobre dicho datos y el RT deberá dar respuesta sobre el mismo.
- En caso de que el interesado solicite al RT el acceso al mismo dato de carácter personal en un
periodo inferior 6 meses, salvo que exista causa legítima, el RT podrá:
a) cobrar un cánon razonable en función de los costes administrativos afrontados para
facilitar la información o la comunicación o realizar la actuación solicitada,
b) negarse a actuar respecto de la solicitud.
- En caso de que el interesado solicite que se le comunique un dato de carácter personal por un
medio diferente al que el RT haya establecido, los costes excesivos del mismo podrán repercutirse
al interesado. Ejemplo: Si respondemos a un correo electrónico la petición de acceso y el
interesado solicita el envío de una carta o correo electrónico, dicho coste deberá ser asumido por
el interesado.
3.6.3. El derecho de rectificación (art. 16 RGPD y art. 14 LOPDGDD).
El acceso de rectificación tiene dos finalidades, recordemos:
- corregir datos personales inexactos.
- completar datos personales incompletos.
La nueva LOPD establece que el interesado deberá indicar en su solicitud a qué datos se refiere y
la corrección que haya de realizarse. Deberá acompañar, cuando sea preciso, la documentación
justificativa de la inexactitud o carácter incompleto de los datos objeto de tratamiento.
3.6.4. El derecho de supresión (art. 17 RGPD y art. 15 LOPDGDD).
Es el derecho del interesado a obtener la supresión de los datos personales que le conciernan, si
se da alguna de estas circunstancias:
a. los datos personales ya no son necesarios en relación con los fines para los que se
obtuvieron.
b. el interesado retire el consentimiento en que se base el tratamiento
c. el interesado se oponga al tratamiento
d. los datos personales hayan sido tratados ilícitamente
e. los datos personales deban suprimirse por obligación legal
Página 14 de 34
f. se hayan obtenido los datos en relación con la oferta de servicios de sociedad de la
información dirigida a niños.
Si el RT ha hecho públicos los datos, deberá comunicación al resto de responsables tratamiento de
la supresión de cualquier enlace, copia o réplicas de tales datos.
En todo caso, se denegará el ejercicio del derecho al olvido de los datos si el tratamiento es
necesario para:
• el ejercicio del derecho a la libertad de expresión e información
• cumplimiento de una obligación legal o misión en interés público
• razones de interés público en el ámbito de la salud
• fines de archivo, investigación, fines estadísticos
• formulación, ejercicio o defensa de reclamaciones
Como se ha visto, se puede denegar el derecho a la supresión, pero siempre es obligatorio
informar al interesado/afectado del motivo de la denegación.
La nueva regulación establecida en la LOPGDD dispone que cuando la supresión derive del
ejercicio del derecho de oposición con arreglo al artículo 21.2 del Reglamento (UE) 2016/679, el
responsable podrá conservar los datos identificativos del afectado necesarios con el fin de impedir
tratamientos futuros para fines de mercadotecnia directa.
3.6.5. El derecho de limitación en el tratamiento (art. 18 RGPD y art. 16 LOPDGDD).
Supone el derecho del interesado de obtener del responsable de tratamiento la limitación de los
datos cuando se cumpla alguna de las siguientes condiciones:
a. el interesado impugne la exactitud de los datos personales durante un plazo que permita al
responsable verificar la exactitud de los mismos. (tras ejercitar el derecho de rectificación)
b. el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y
solicite en su lugar la limitación de su uso. (ej: un cliente de un banco que cancela una cuenta
corriente, pero que habilita el uso de sus datos para recibir ofertas comerciales)
c. el interesado se haya opuesto al tratamiento, mientras se verifica si los motivos legítimos del
responsable prevalecen sobre los del interesado. (tras ejercitar el derecho de oposición) En
este caso tb, cuando se ejercita el derecho al olvido frente a un buscador.
d. el responsable ya no necesite los datos para los fines del tratamiento, pero el interesado los
necesite para la formulación, ejercicio, o la defensa de reclamación.
Página 15 de 34
Se trata estos casos como una suspensión cautelar tras el ejercicio de dichos derechos.
La LOPGDD establece que el hecho de que el tratamiento de los datos personales esté limitado
debe constar claramente en los sistemas de información del responsable.
3.6.6. El derecho de portabilidad (art. 20 RGPD y art. 17 LOPDGDD).
Debe permitirse asimismo que los interesados que hubieran facilitado datos personales que les
conciernan a un responsable del tratamiento los reciban en un formato estructurado, de uso
común, de lectura mecánica e interoperable, y los transmitan a otro responsable del
tratamiento.
Se prevén aparentes limitaciones a la portabilidad, que deben analizarse como:
• es un derecho que se entiende sin perjuicio del derecho al olvido, la portabilidad no supone la
automática supresión de los datos
• únicamente cabe cuando el tratamiento se base en consentimiento o contrato.
• únicamente cabe cuando el tratamiento se efectúe por medios automatizados.
3.6.7. El derecho de oposición (art. 21 RGPD y art. 18 LOPDGDD).
El interesado puede solicitar que no se lleve a cabo el tratamiento de sus datos personales o se
cese en su tratamiento, siempre que exista causa justificada.
El RT dejará de tratar sus datos personales salvo sí:
• el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el
responsable de tratamiento o por un tercero, siempre que sobre dichos intereses no
prevalezcan los intereses o derechos y libertades fundamentales del interesado.
• o para la formulación, ejercicio y defensa de reclamaciones.
• el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o
en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Esto se da en el
caso de que los datos sean tratados con fines de investigación científica o histórica o fines
estadísticos de conformidad.
• En este caso se invierte la carga de la prueba, será el responsable quien deberá estimar este
derecho, salvo que invoque razones justificadas.
• También puede el interesado oponerse a ser objeto de una decisión basada únicamente en el
tratamiento automatizado, como la denegación automática de una solicitud de crédito en
línea o los servicios de contratación en red en los que no medie intervención humana alguna,
Página 16 de 34
incluida la elaboración de perfiles (consistente en cualquier forma de tratamiento de los datos
personales que evalúe aspectos personales relativos a una persona física, en particular para
analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación
económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento,
la situación o los movimientos del interesado), que produzca efectos jurídicos sobre él o le
afecte significativamente de modo similar. (Art. 22 RGPD).
3.7. Tratamientos concretos (arts. 19 a 27 LOPDGDD).
La LOPGDD establece una serie de tratamientos que serán lícitos si se dan determinadas
condiciones, entre estos encontramos:
a. El tratamiento de datos de contacto, empresarios individuales y profesiones liberales (art.
19 LOPDGDD).
b. El tratamiento de datos de sistemas de información crediticia (art. 20 LOPGDD).
c. Los tratamientos relacionados con la realización de determinadas operaciones mercantiles
(art. 21 LOPGDD).
d. Los tratamientos con fines de videovigilancia (art. 22 LOPGDD).
e. Sistemas de exclusión publicitaria (art. 23 LOPGDD).
f. Sistemas de información de denuncias internas (art. 24 LOPDGDD).
g. Tratamiento de datos en el ámbito de la función estadística pública (art. 25 LOPDGDD).
h. Tratamiento de datos con fines de archivo en interés público por parte de las
Administraciones Públicas (art. 26 LOPDGDD).
i. Tratamiento de datos relativos a infracciones y sanciones administrativas (art. 27
LOPDGDD).
De todo estos tratamientos, el que afecta directamente a los contratos electrónicos es el
establecido en el art. 23 LOPGDD, es decir, los sistemas de exclusión publicitaria.
En este sentido, en el caso de que un interesado manifieste a un RT o a un ET su voluntad de que
sus datos no sean tratados para remisión de comunicaciones comerciales, el RT o el ET deberá
informarle de los sistemas de exclusión publicitaria existentes, pudiendo remitirse a la
información publicada por la autoridad de control competente. Es por ello, que si un usuario nos
solicita que no se le envié publicidad comercial expresamente (por ejercitar el derecho de
oposición a dicho tratamiento en concreto) deberemos informar de la existencia de la Lista
Robinson, gestionado por la Asociación de Economía Digital (a partir de este momento
ADIGITAL), y sería recomendable remitirles el link de la propia A.E.P.D. sobre sistemas de
exclusión publicitaria: https://www.A.E.P.D..es/areas/publicidad/index.html
Página 17 de 34
3.8. Obligaciones generales del responsable de tratamiento y del encargado de tratamiento (art. 25 a 31 RGPD y 28 a 32 LOPDGDD).
Tanto el RGPD como la LOPDGDD no establece medidas concretas que deberán adoptar los RT y
los ET para cumplir con la normativa en materia de protección de datos. Lo que si establece es la
siguiente máxima:
El responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas. Dichas medidas se revisarán y actualizarán cuando sea necesario.
Por tal de dar unas líneas o bases mínimas de actuación por parte de los RT y ET, entre otras que debieran aplicar encontramos:
* Disponer de un procedimiento para el ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación en el tratamiento y portabilidad.
* Disponer de un procedimiento de notificación de incidencias a la A.E.P.D. y a los interesados, en caso necesario.
* Interponer la pertinente denuncia ante las autoridades y cuerpos de seguridad.
* Establecer un mecanismo de información al interesado en caso de perdida de datos de categoría especial.
* Disponer de dispositivos SAI para el caso de fallo en el suministro eléctrico.
* Efectuar semanalmente copias periódicas de respaldo de los datos.
* Comprobación semestralmente de la fiabilidad de las copias periódicas.
* Reconstrucción de datos a partir de la última copia. Grabación manual en su caso, si existe documentación que lo permita. Mínimo una copia semanal.
* Inventario de soportes, de tal manera que se identifique de forma sencilla los datos en él contenidos, siempre velando por la anonimización de los datos.
* Almacenar en dos ubicaciones diferentes el disco duro externo, pen, nube... en que se guardan las copias de seguridad.
* La segmentación de la red: que solo pueda acceder a los datos de carácter personal determinados departamentos.
* Procedimiento de asignación y distribución de contraseñas en los dispositivos de los usuarios autorizados.
Página 18 de 34
* Cambio de contraseñas mínimo cada año. Obligación de que la contraseña disponga de mayusculas, minúsculas, números y signos de puntuación, así como un mínimo de 6 caracteres, aunque se recomiendan contraseñas de 8 caracteres.
* Seudonomización. Se recomienda asignar una numeración que impida la identificación directa del dato de la persona que se va a tratar.
* Utilizar software propietario con las debidas licencias o bien software libre. En ambos casos actualizar a la última versión operativa disponible.
* Utilizar sistemas operativos actualizados a la última versión disponible.
* Disponer de un antivirus, y este debe estar actualizado.
* Disponer de una red vpn para la conexión a Internet.
* Limitar el uso de aplicaciones no necesarias para el uso o tratamiento.
* Concesión de permisos de acceso solo por personal autorizado a las zonas donde se encuentren dispositivos de almacenamiento de datos de carácter personal.
* Comprobación semestralmente de la fiabilidad de las copias periódicas.
* Reconstrucción de datos a partir de la última copia. Grabación manual en su caso, si existe documentación que lo permita.
* Control de accesos a zonas de almacenamiento de soportes no automatizados que contengan datos de carácter personal mediante la restricción de acceso por usuarios de tratamiento.
* Establecimiento de medidas de protección que impidan el acceso directo a soportes no automatizados que contengan datos de carácter persona (armarios con llaves solo a disposición de determinados usuarios).
* Establecer un mecanismo de información al interesado en caso de perdida de datos de categoría especial.
* Disponer de contrato con el ET que habilite a este a efectuar el tratamiento. En todo caso, estas medidas no son excluyentes de otras que se pudieran aplicar.
3.9 Elección y contrato con los encargados de tratamiento. El encargado de tratamiento lo define el Art. 4 del RGPD como: la persona física o jurídica,
autoridad pública, servicio u otro organismo que trate datos personales por cuenta del
responsable del tratamiento.
Página 19 de 34
Además viene regulada dicha figura en el Art. 28 del RGPD.
El RT únicamente escogerá un encargado de tratamiento que ofrezca garantías suficientes para
aplicar medidas técnicas y organizativas que garanticen el cumplimiento del RGPD y garantice la
protección de derechos del interesado.
Para que el ET pueda recurrir a otro encargado (subcontrate), únicamente podrá hacerlo con
autorización previa del RT por escrito.
El tratamiento por el encargado se regirá por un contrato por escrito que establecerá:
objeto y duración del contrato
naturaleza y fines del tratamiento
tipos de datos personales
categorías de los interesados
obligación de seguir instrucciones del responsable salvo excepción legal
garantías de confidencialidad de su personal
medidas de seguridad
medidas si se prevé su subencargo: disponer de autorización previa, por escrito,
específica o general.
compromiso de colaborar con el responsable para la satisfacción ed derechos de los
ciudadanos
destino de los datos cuando finalice relación; devolver o suprimir, salvo que el derecho
de la UE obligue a conservarlos.
Puesta a disposición del responsable toda la información necesaria para demostrar el
cumplimiento de las obligaciones establecidas en el art. 28, así como para permitir y
contribuir a la realización de auditorías, incluidas inspecciones, por parte del
responsable o de otro auditor autorizado por dicho responsable.
Debe mediar también contrato entre encargado y subencargado.
3.10. La notificación de violaciones de seguridad (art. 33 y 34 RGPD).
El art. 33 y 34 del RGPD establece la obligación de establecer un procedimiento para notificar las
quiebras de seguridad a la Autoridad de Control y a los interesados.
¿Qué es una quiebra de seguridad? Cualquier incidente que provoque la destrucción, pérdida,
modificación ilícita, comunicación o acceso no autorizado a los datos personales, por ejemplo:
pérdida de un ordenador portátil con datos personales, de un pen, envío de un e-mail a un tercero
no autorizado con datos personales, borrado de datos personales…
Página 20 de 34
Notificación a la A.E.P.D.
Se deberá notificar a la A.E.P.D. sin dilación indebida, y en el plazo máximo de 72 horas desde
que se haya tenido constancia de la misma. Excepción: a menos que sea improbable que
constituya un riesgo para los derechos o libertades de las personas físicas.
Si no se notifica dentro del plazo máximo de 72 horas, se deberá indicar el motivo de la dilación.
Dentro del mismo plazo, notificará el ET las posibles violaciones de seguridad.
La notificación contemplará como mínimo:
a) La naturaleza de la violación (por ejemplo; robo de un ordenador, borrado de datos por
entrada de virus...), y cuando sea posible las categorías y el número aproximado de
interesados afectados, y las categorías y el número aproximado de registros de datos
personales afectados; (nombres, apellidos, dnis...), (clientes, contactos, proveedores,
trabajadores...)
b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de
otro punto de contacto en el que pueda obtenerse más información;
c) describir las posibles consecuencias de la violación de la seguridad de los datos
personales;
d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para
poner remedio a la violación de la seguridad de los datos personales ( por ejemplo:
recuperación de datos personales a través de las copias de seguridad) y para revertir
posibles efectos negativos (contratación de un seguro en materia de protección de datos
que indemnice los daños morales, físicos o materiales que se hayan producido)
Todo ello deberá estar documentado y a la disposición de la A.E.P.D..
Notificación al interesado
Si la violación de seguridad entraña un alto riesgo para el afectado se deberá notificar al propio
interesado esta violación de seguridad. ( por ejemplo, si roban un ordenador sin contraseña y se
puede acceder a datos personales los afectados, incluso a copia de documentación de los mismos
como pudieran ser documentos identificativos, números de tarjetas de crédito... es obvio que
existe un riesgo alto de robo, usurpación de identidad etc...)
Exención de la obligación de notificar al interesado:
- cuando el riesgo no sea alto
- los datos sean ininteligibles mediante cifrado u otra técnica
- responsable de tratamiento ha tomado medidas ulteriores que desvirtúen el alto riesgo
para derechos y libertades del interesado
Página 21 de 34
- suponga un esfuerzo desproporcionado, optándose en este caso por una comunicación
pública o medida semejante
Plazo de comunicación: sin dilación indebida
En la comunicación, además de describir la naturaleza de la violación de seguridad, deberán
incluirse recomendaciones para que la persona física afectada mitigue los potenciales efectos
adversos: por ejemplo, que interponga la correspondiente denuncia, que bloquee sus tarjetas.
3.11. Herramientas que deberán aplicar todos los responsables y encargados de tratamiento.
Las principales herramientas que todo RT y ET deberá cumplir, vienen establecidas por el propio
RGDP y LOPDGDD. En todo caso, en primer lugar y antes de definir las mismas, los RT y ET deberán
valorar la necesidad de designar un delegado de protección de datos (DPD).
3.11.1. El delegado de protección de datos.
Un delegado de protección de datos es la persona con conocimientos especializados en protección
de datos personales que controla el cumplimiento de la normativa de protección de datos.
Según el RGPD únicamente será obligatoria su designación cuando (artículos 37 a 39 del RGPD):
- El tratamiento lo realiza una autoridad u organismo público. (los tribunales que actúan en
el ejercicio de su función judicial NO)
- Cuando las actividades consisten en operaciones de tratamiento que requieren el
seguimiento regular y sistemático de los interesados a gran escala. Por ejemplo,
elaboración de perfiles para marketing digital en el que se ven afectados más de 1000
personas.
- Cuando las actividades consisten en el tratamiento a gran escala de categorías especiales
de datos (ideología u opiniones políticas, afiliación sindical, religión u opiniones
religiosas, creencias o creencias filosóficas, origen étnico o racial, datos relativos a salud,
vida sexual u orientación sexual, datos de violencia de género y malos tratos, datos
biométricos, datos genéticos que proporcionan una información única sobre la fisiología o
la salud del identificado obtenidas del análisis de una muestra biológica, datos
solicitados para fines policiales sin consentimiento de las personas afectadas, datos
relativos a condenas y delitos penales.)
-
No obstante ello, el RGPD deja abierta la posibilidad de que la normativa interna de los Estados
Miembros de la Unión Europea establezcan la obligatoriedad de designar un DPO cuando se den
otras circunstancias, por lo que se deberá estar a la normativa interna de nuestro país.
Página 22 de 34
Es por ello que, según lo dispuesto en el arts. 34.d de la LOPGDD será obligatorio la designación
del DPD cuando:
<< Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala
perfiles de los usuarios del servicio>> .
Problema: ¿qué se entiende por gran escala? Es un concepto jurídico indeterminado, y por ahora
la A.E.P.D. nos remite a las directrices del Grupo de Trabajo 29 que establece en sus directrices
248 sobre evaluación de impacto de protección de datos se han de tener en cuenta los siguientes
factores:
· El número de sujetos afectados, ya sea como número específico o como proporción de
un conjunto de población;
· El volumen de datos y / o el rango de diferentes tipos de datos que se están tratando;
· La duración o permanencia de la actividad de tratamiento de datos;
· La extensión geográfica del tratamiento.
Por otra parte, en el Considerando 91 RGPD se habla ya de operaciones de tratamiento a gran
escala:
que persiguen tratar una cantidad considerable de datos personales a nivel regional,
nacional o supranacional y que podrían afectar a un gran número de interesados y
entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en
función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva
tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo
para los derechos y libertades de los interesados, en particular cuando estas operaciones
hace más difícil para los interesados el ejercicio de sus derechos.
Por ende, y para curarnos en salud, si nos encontramos ante tratamiento efectuados por razón
del comercio electrónico, recomendamos que se designe un delegado de protección de datos,
aunque se deberá estar al criterio señalado anteriormente.
Tomada la decisión de disponer de los servicios de un delegado de protección de datos deberemos
tener en cuenta que:
Los RT y los ET deben comunicar a la A.E.P.D. o a las autoridades autonómicas en el plazo de 10
días las designaciones, nombramientos y ceses de los delegados de protección de datos. Las
Página 23 de 34
autoridades de control mantendrán un listado actualizado de los mismos (art. 34 LOPDGDD). En el
marco de servicios de comercio electrónico, la notificación se efectuará ante la A.E.P.D.
En cuanto a la cualificación de dichos DPD, uno de los criterios establecidos será la existencia de
mecanismo voluntarios de certificación que tendrán particularmente en cuenta la obtención de
una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica
en materia de protección de datos, aunque no será el único criterio (art. 35 LOPGDD).
Las obligaciones de este delegado de protección de datos son las siguientes (art. 37 a 38 RGDP y
36 a 37 LOPDGDD)
a) actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia
Española de Protección de Datos y las autoridades autonómicas de protección de datos.
b) inspeccionará los procedimientos relacionados con el objeto de la presente ley orgánica y
emitir recomendaciones en el ámbito de sus competencias.
c) No podrá ser removido ni sancionado por el responsable o el encargado por desempeñar
sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio, cuando se
trate de una persona física integrada en la organización del responsable o encargado del
tratamiento.
d) Se garantizará la independencia del delegado de protección de datos dentro de la
organización, debiendo evitarse cualquier conflicto de intereses.
e) En el ejercicio de sus funciones el delegado de protección de datos tendrá acceso a los datos
personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el
encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto,
incluyendo el previsto en el artículo 5 de esta ley orgánica. Cuando el delegado de protección
de datos aprecie la existencia de una vulneración relevante en materia de protección de datos
la documentará y la comunicará inmediatamente a los órganos de administración y dirección
del responsable o el encargado del tratamiento.
Entramos entonces a evaluar cada una de las herramientas que establece el RGPD para la
evaluación de los riesgos:
3.11.2. Herramientas1.
1 Información extraída de la Guía práctica de análisis de riesgos para el tratamiento de datos personales y de
la guía práctica para las evaluaciones de impacto en la protección de datos personales, elaboradas por la
A.E.P.D.: https://www.aepd.es/guias/index.html
Página 24 de 34
EL RGPD establece TRES HERRAMIENTAS para realizar el tratamiento de los riesgos
anteriormente identificados en función del tipo de datos personales que se trata:
i. Análisis de riesgos y gestión de riesgos por defecto.
ii. Registro de actividad como responsables de tratamiento y como encargados de
tratamiento.
iii. Evaluación de impacto.
i. Análisis de riesgos y gestión de riesgos por defecto
Será la herramienta que se utilizará en actividades de tratamiento de baja exposición al riesgo.
a) ¿cómo hacer el análisis básico de riesgos?: Realizando un CICLO DE VIDA de los procesos de
tratamiento de datos, que contendrá estos DOS PASOS:
Paso 1: Análisis global de las actividades de tratamiento
En esta etapa lo que buscamos es analizar de forma genérica/global todas las actividades a las
que vamos a someter los datos de carácter personal. Dividimos estas actividades en las siguientes
fases:
- Captura de datos. El responsable de tratamiento ha de preguntarse qué técnica le permite
obtener los datos de carácter personal de los interesados, como por ejemplo, formularios en
papel o formularios web, realización de encuestas, redes sociales…
- Clasificación/Almacenamiento. Los RT deberán asignar categorías a los datos de carácter
personal para su posterior almacenamiento en sus sistemas o archivos. Por ejemplo:
clientes, proveedores, trabajadores…
- Uso/Tratamiento. Conjunto de operaciones realizadas sobre los datos personales o
conjuntos de datos personales, ya sea mediante uso de dispositivos electrónicos
(ordenadores, teléfonos móviles, tablets, etc) que denominaremos medios automatizados;
ya sea mediante procedimientos de datos manuales. Por ejemplo: utilizar los datos para
elaborar un contrato, para enviar publicidad, para emitir facturas…
- Cesión o transferencia de los datos a un tercero para su tratamiento. Traspaso o
comunicación de datos por parte del RT realizada a un tercero ya sea persona física o
jurídica. Ejemplos: enviar facturación al gestor/contable; informático externo al RT...
- Destrucción. Como última etapa en los procesos de tratamiento de los datos de carácter
personal, deberán utilizar mecanismos que impidan recuperar de los soportes de
almacenamiento los archivos o sistemas que contengan datos de carácter personal.
Ejemplo: eliminar los datos de carácter personal contenidos en un disco duro de manera que
sea imposible su recuperación.
Página 25 de 34
Paso 2: Clasificación de los elementos involucrados en las actividades de tratamiento:
En esta etapa lo que buscamos es clasificar cada uno de los instrumentos que utilizamos para
efectuar las actividades de tratamiento explicadas anteriormente:
Actividades u operaciones. Por ejemplo, en la captura de datos: formulario en papel,
web… Por ejemplo en la destrucción: programa utilizado para eliminar definitivamente los
datos…
Datos: Identificar los datos de carácter personal que van a ser tratados. Ej. Nombre y
apellidos, domicilio, teléfono de contacto.
Intervinientes. Obligación de identificar las personas físicas o jurídicas que, de manera
individual o colectiva, están implicadas en el desarrollo de las actividades del tratamiento
de los datos de carácter personal. Por ejemplo: el responsable, el interesado, el encargado
de tratamiento…
Tecnología. Obligación de identificar los dispositivos/soportes/sistemas tecnológicos que
intervienen en el tratamiento de datos de carácter personal. Ej. Ordenadores personales,
tablets, teléfonos móviles, etc.
b) ¿cómo hacemos una gestión de riesgos por defecto?
Una vez realizado el ciclo de vida de los datos personales en los cuales hemos
establecido las actividades de tratamiento que se van a efectuar, y hemos identificado los datos a
tratar, las personas que van a intervenir, y las tecnologías que intervienen, hemos de
preguntarnos a qué riesgos nos enfrentamos. Para ello, y cuando estamos ante datos de carácter
personal de bajo nivel de protección como son los datos básicos identificativos, número de
cuenta...entre otros, debemos seguir los siguientes PASOS
Paso 1: Designamos las actividades de tratamiento.
Como hemos establecido en el ciclo de vida de tratamiento, una actividad de tratamiento sería en
la fase captura: recogida mediante formulario en formato papel de datos identificativos.
Paso 2: Identificamos los principales riesgos potenciales a la actividad de tratamiento:
Una vez hemos designado la actividad de tratamiento debemos pensar que riesgos pueden
afectar a la misma. Para ello, lo abordaremos desde las siguientes PERSPECTIVAS:
- La integridad de los datos personales: la integridad se refiere a que los datos que hemos
recogido de los interesados sean en todo momento los mismos a lo largo del tratamiento.
Página 26 de 34
El riesgo asociado a la integridad, sería una modificación no consentida de los
datos de carácter personal.
A este riesgo le aplicamos dos medidas de protección/seguridad:
*Establecer perfiles de usuario y contraseña en los ordenadores, tablets...que
impidan el acceso no autorizado al contenido de datos de carácter personal
*Disponer de un antivirus actualizado.
- La disponibilidad de los datos personales: la disponibilidad se refiere a que en todo
momento el RT pueda acceder a los datos personales que tiene almacenados.
El riesgo asociado a la disponibilidad, sería una pérdida o borrado no
intencionado de datos de carácter personal.
A este riesgo le aplicamos dos medidas de protección/ seguridad:
*realizar de forma periódica copias de seguridad
*almacenar en dos ubicaciones diferentes el disco duro externo, pen, nube... en
que se guardan las copias de seguridad.
- La confidencialidad de los datos personales: la confidencialidad se refiere a que terceros no
autorizados accedan a los datos de carácter personal de que dispone el RT
El riesgo asociado a la confidencialidad, sería un acceso no autorizado a datos de
carácter personal por un tercero, haya publicación de estos datos o no.
A este riesgo le aplicamos dos medidas de seguridad/protección:
*de nuevo el establecimiento de perfiles y contraseñas
*la segmentación de la red: por ejemplo, que el departamento de publicidad no
pueda acceder a los datos de facturación de los clientes.
- Garantizar los Derechos de los interesados en el tratamiento de datos de carácter personal:
nos referimos, a que los RT han de establecer procedimientos que aseguren el ejercicio de
los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad (más
adelante profundizaremos en estos conceptos)
El riesgo asociado al ejercicio de estos derechos por parte de los interesados sería
una ausencia de procedimiento para ejercitar estos derechos.
A este riesgo le aplicamos las siguientes medidas de seguridad/protección:
*Establecer un procedimiento para recibir y gestionar las peticiones por parte de
los interesados del ejercicio de derechos.
Página 27 de 34
- Garantizar los principios relativos al tratamiento de los datos personales: licitud, lealtad y
transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del
plazo de conservación.
El riesgo asociado a estos principios pueden ser entre otros: La ausencia de
legitimidad para el tratamiento de datos de carácter personal (por ejemplo no
contar con el consentimiento recogido en un formulario de una persona de
contacto)
A este riesgo le aplicamos las siguientes medidas de seguridad/protección:
*Disponer de un formulario para recoger el consentimiento que incluya las
debidas cláusulas informativas.
ii. Registro de Actividades de tratamiento
El registro de actividades de tratamiento, es una herramienta de media intensidad, y se
acumulará a la herramienta básica de análisis de riesgos y gestión de riesgos por defecto.
Es decir, el RT o ET que esté obligado según el RGPD a realizar un registro de actividades de
tratamiento, también habrá realizado previamente el análisis de riesgos y gestión de riesgos por
defecto. El RGPD regula el registro de actividad en el art. 30.
El mantenimiento del Registro de actividades de tratamiento únicamente será obligatorio según el
RGPD para aquellas empresas u organizaciones que cuenten con más de 250 trabajadores.
El RGPD dice también que será obligatorio llevar a cabo un registro de actividades de tratamiento
aunque se cuente con menos de 250 trabajadores, si el tratamiento conlleva riesgo para los
afectados, no es ocasional, o si tratan datos relativos a ideología u opiniones políticas, afiliación
sindical, religión u opiniones religiosas, creencias o creencias filosóficas, origen étnico o racial,
datos relativos a salud, vida sexual u orientación sexual, datos de violencia de género y malos
tratos, datos biométricos, datos genéticos que proporcionan una información única sobre la
fisiología o la salud del identificado obtenidas del análisis de una muestra biológica, datos
solicitados para fines policiales sin consentimiento de las personas afectadas, datos relativos a
condenas y delitos penales.
La información que se hará constar en el Registro de Actividades de Tratamiento del RT será:
- Los datos de contacto del responsable ( RT) del representante, DPO...
- Fines de tratamiento (por ejemplo: para gestionar la relación de prestación de servicios)
- Categorías de interesados (clientes, asistentes a eventos, proveedores...), datos personales
(nombres, apellidos, dirección...), destinatarios a quién se comunicarán los datos
personales (gestarías, empresas de informática)
Página 28 de 34
- Transferencias internacionales de datos (Si es que se realizarán).
- Plazos de supresión de los datos personales (si es posible)
- Descripción de las medidas de seguridad implementadas en los procesos de tratamiento
de datos (si es posible)
La información que se hará constar en el Registro de Actividades de Tratamiento del ET será:
- Los datos de contacto del ET y de cada RT por cuenta del cual actúa el ET, y en su caso del
representante del RT o ET, y del DPO.
- Categorías de tratamientos efectuados por cuenta de cada RT
- Transferencias internacionales de datos, identificación del país y documentación de las
garantías adecuadas.
- Descripción de las medidas de seguridad, si es posible.
Estos registros deberán constar por escrito, incluso en formato electrónico, y estar a disposición
de la A.E.P.D. si les es requerido.
iii. Evaluación de impacto.
La podemos definir como la herramienta de mayor intensidad, de carácter preventivo que obliga
a determinados RT a identificar, evaluar y gestionar los riesgos a los que están expuestas sus
actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas
físicas.
En la mayoría de casos no será necesaria la utilización de esta herramienta, por lo que
entraremos a exponerla de forma muy breve.
Únicamente estarán obligados a realizar una EIPD, los RT cuando el tratamiento de datos de
carácter personal entrañe un alto riesgo para los derechos y libertades de las personas físicas
(art. 35 RGPD)
¿Y cuándo existe un alto riesgo para los derechos y libertades de los afectados?
- Si efectuamos una evaluación sistemática y exhaustiva de aspectos personales de los
interesados mediante herramientas informáticas. Por ejemplo, elaboración de perfiles a los
que posteriormente venderemos un producto o servicio.
- Tratamiento a gran escala de datos especialmente protegidos.
- Observación sistemática a gran escala de una zona de acceso público. Por ejemplo: cámaras
de seguridad establecidas en la vía pública que controlen a los ciudadanos.
Podemos dividir las FASES DE UN EIPD en tres fases bien diferenciadas:
Página 29 de 34
Primera fase: Contexto
Etapa 1: Ciclo de vida de los datos de carácter personal.
Damos por reproducido lo ya manifestado en el apartado relativo al ciclo de vida de los datos de
carácter personal.
Etapa 2: Proporcionalidad en el tratamiento.
El RT, junto con el ET y el DPO deben contestar a las siguientes PREGUNTAS BÁSICAS:
- ¿Quienes son los titulares de los datos que vamos a tratar? Por ejemplo clientes, contactos,
redes sociales, entre otros.
- ¿Qué datos de carácter personal hemos decidido tratar? Si van a recoger el DNI, el
domicilio, el número de teléfono, datos sobre salud, ideología política y/o religiosa, datos
sobre orientación sexual, entre otros.
- ¿Qué vamos a hacer con estos datos que tratamos? ¿qué finalidad tiene dicho
tratamiento? Si van a utilizar los datos para efectuar estadísticas, o bien para gestionar la
prestación de servicios contratada, para enviar publicidad…
- ¿Son necesarios todos estos datos? Han de evaluar si todos los datos que están recogiendo
son necesarios para las finalidades que han establecido: para gestionar la prestación de
servicios de gestoría por ejemplo, no será necesario solicitar datos sobre ideología, entre
otros.
Efectuadas las preguntas y obtenidas las respuestas, el RT se ha de preguntar si dispone de base
legitimadora (art. 6 RGPD) para efectuar el tratamiento. Si la respuesta es afirmativa, pasaremos
a analizar si el tratamiento que vamos a realizar es proporcional a los fines que hemos
establecido.
El RT ha de evaluar si la finalidad que se persigue con el tratamiento de determinados datos de
carácter personal se puede conseguir por otros medios. Ejemplos de este último sería si el RT
para la recogida de datos pueden utilizar tecnologías menos invasivas; si se puede reducir la
cantidad de datos que recoge, ya sea reduciendo el número de personas a quién le requerimos los
datos, ya sea comprobando qué tipo de datos recogemos; entre otras opciones.
Estas preguntas se han de responder y poner por escrito en el documento donde recogemos la
evaluación de impacto. En caso de que veamos que no cumple con ninguno de estos principios,
deberemos dejar de llevar a cabo el tratamiento y reformularlo.
Segunda fase: Gestión de riesgos, que a su vez se divide en 2 ETAPAS
Etapa 1: Identificación de las amenazas y riesgos.
Página 30 de 34
En este apartado hacemos referencia a todo lo manifestado en el punto identificación de
amenazas y riesgos y por tanto, el RT deberá efectuar cada una de las actuaciones establecidas en
dicho apartado, con las siguientes ESPECIFICACIONES:
El riesgo que existe para cada actividad de tratamiento de datos personales se compone de DOS
CONCEPTOS:
- La probabilidad de que una amenaza tenga lugar, y
- El impacto, es decir, las consecuencias que se producen cuando la amenaza tiene lugar.
Tanto a la probabilidad como al impacto, se le otorgan unos valores que van del 1 al 4: siendo 1
probabilidad/impacto despreciable, hasta 4 probabilidad/impacto máximo.
Todo impacto ocasiona un daño que se puede categorizar en: daños físicos (agresiones físicas
derivadas de la publicación no autorizada de datos íntimos: orientación sexual), daños materiales
(rotura de discos duros) y daños morales (pérdida de valor de la empresa).
Etapa 2: Tratamiento de la amenazas y riesgos.
Identificadas las amenazas y riesgos, se han de establecer MEDIDAS ATENUADORAS del mismo,
que al final es el objetivo último de un EIPD. Entre otras medidas atenuadoras del riesgo
encontramos:
a. Las técnicas: son medidas encaminadas a poner en valor la seguridad física y lógica de
los activos de información. Ejemplos: cifrado de datos (establecimiento de contraseñas),
controles de acceso, entre otras.
b. Las legales: son medidas encaminadas a cumplir con las normas. Ejemplos: cláusulas de
recogida de consentimiento expreso.
c. Las organizativas: son medidas encaminadas a establecer procedimientos tales como:
establecimiento de procedimiento de ejercicio de derechos por los interesados.
La adopción de estas medidas nos dará como resultado lo que se denomina un riesgo
residual con unos valores comprendidos: del 1 al 2( riesgo bajo), del 3 al 6 (riesgo medio) del 7 al 9
(riesgo alto), del 10 al 12 o más (riesgo muy alto).
Para abordar dicha atenuación del riesgo podemos optar por CUATRO VÍAS:
a. La anulación del riesgo. Abandonar la actividad de tratamiento si entendemos que no
queremos asumir dicho riesgo.
Página 31 de 34
b. La retención del riesgo. Entender que las medidas que hemos implementado para
atenuar el riesgo son suficientes a éstos últimos y no hay que adoptar ninguna medida
más.
c. La reducción del riesgo. Mediante la implementación de medidas que permitan reducir
o bien la probabilidad y/o impacto asociados al riesgo.
d. La transferencia del riesgo. Podemos contratar a otras entidades públicas o privadas
que nos permitan atenuar las consecuencias materiales asociados a los riesgos. En estos
casos, será necesarios efectuar análisis adicionales.
Tercera fase: Conclusión.
El EIPD finaliza con la fase relativa a la conclusión, donde distinguimos DOS ETAPAS: bien
diferenciadas: el plan de acción y el informe de conclusiones.
Etapa 1: Plan de acción
El plan de acción consiste en un conjunto de iniciativas que se deben realizar para
implantar los controles que ayudan a reducir el riesgo inherente de toda actividad de
tratamiento.
Etapa 2: Informe de conclusiones
En el informe de conclusiones se deberá recoger el riesgo residual obtenido durante la fase de
gestión de riesgos, valorando si ese es elevado o se considera aceptable y dentro de unos límites
razonables.
En caso de que la conclusión del EIPD no sea favorable, se deberán incluir medidas de control
adicionales que permitan reducir el nivel de exposición a los riesgos, disminuyendo el mismo
hasta un nivel aceptable. Si no fuese posible el tratamiento sería necesario activar un
procedimiento de consulta previa a la Autoridad de control.
En caso de que la conclusión del EIPD sea favorable, la actividad de tratamiento se puede llevar
a cabo siempre que se efectúen las medidas de control recogidas en el plan de acción.
3.12. Transferencia internacional de datos.
La circulación de datos entre países de la UE está amparada por el principio de libre circulación
(Art. 1.3 RGPD). No así las transferencias transfronterizas de datos personales a países no
pertenecientes en la Unión.
Página 32 de 34
Por transferencia internacional de datos se entiende cualquier transmisión de datos de carácter
personal fuera del Espacio Económico Europeo sea cual sea el medio que se utilice para ello.
Primera categoría: Transferencias internacionales basadas en una decisión de adecuación.
El artículo 45 RGPD determina que se podrá realizar una transferencia de datos personales a un
tercer país u organización internacional, sin ninguna autorización administrativa previa “cuando la
Comisión haya decidido que el tercer país, un territorio o varios sectores específicos de ese tercer
país (…) garantizan un nivel de protección adecuado”.En este caso, debe haber un soporte o
habilitación.
El RGPD prevé los siguientes:
Ejemplos:
Andorra: Decisión 2010/625/UE de la Comisión, de 19 de octubre 2010.
Argentina: Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003.
Canadá: Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001.
Estados Unidos: Solo si la entidad está adherida a “Privacy Shield”.
Guernesey: Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.
Isla de Man: Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
Islas Feroe: Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010.
Israel: Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011.
Jersey: Decisión 2008/393/CE de la Comisión, de 8 de mayo de 2008.
Nueva Zelanda: Decisión 2013/65/UE de la Comisión, de 21 de agosto de 2012.
Suiza: Decisión 2000/518/CE de la Comisión, de 26 de julio de 2010.
Uruguay: Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012.
Segunda categoría: Transferencias internacionales mediante garantías adecuadas.
A diferencia de la actual LOPD, el RGPD prevé que se podrán efectuar transferencias a terceros
países u organizaciones que no cuenten con el visto bueno de la Comisión Europea si se cumplen
unas determinadas garantías tasadas reglamentariamente. En estas ocasiones tampoco es
necesaria la autorización administrativa de la autoridad de control (en España, la Agencia Española
de Protección de Datos).
En resumen, el artículo 46 RGPD prevé que, en los casos indicados reglamentariamente, se
entenderá –iuris tantum-, en la mayoría de supuestos- que la transferencia tiene garantías
adecuadas como las que se realizarían dentro de territorio común.
Tercera categoría: “Binding corporate rules” o normas corporativas vinculantes.
Página 33 de 34
El RGPD también prevé el supuesto de los grupos empresariales con empresas en distintos países.
El legislador comunitario ha entendido que una forma para hacerlo es mediante las “Binding
corporate rules” o normas corporativas vinculantes.
En este sentido, el artículo 47 RGPD establece que la autoridad de control aprobará normas
corporativas de carácter vinculante a las que se podrán unir los grupos de empresas, permitiendo
salvaguardar la transferencia de datos.
Cuarta Categoría: Excepciones para situaciones específicas (Art. 49)
Permite realizar transferencia si no se dan las categorías anteriores sí hay:
a) consentimiento explícito tras información adecuada.
b) Necesidad para ejecución de contrato o precontrato entre interesado y RT, o entre RT y
tercero en su interés.
c) Por razones importantes de interés público.
d) Formulación, ejercicio, defensa de reclamaciones.
e) Proteger los intereses vitales del interesado o otras personas.
f) La transferencia se realice desde un registro público que tenga por objeto facilitar información
al público.
3.13. Régimen sancionador.
Regulado en el Título VIII. Procedimientos en caso de posible vulneración de la normativa de
protección de datos y en el Título IX. Régimen Sancionador de la LOPDGDD, no nos extenderemos
sobre el mismo.
Sólo señalar que las sanciones más graves pueden ir hasta los 20 millones de euros o el 4% del
volumen de negocio global del ejercicio financiero anterior de la compañía infractora.
4. Estado de cumplimiento.
En la entrevista efectuada con fecha de 3.diciembre.2018 a la directora de la A.E.P.D., Dª. MAR
ESPAÑA se señala que:
- Se han designado 22.000 delegados de protección de datos.
- Han aumentado las reclamaciones un 35% desde el 25 de mayo.
Página 34 de 34
- Sigue existiendo fraude en materia de implantación de protección de datos. Empresas que
ofrecen el servicio de protección de datos a coste cero. E incluso se han detectado empresas
que utilizan el logo de la A.E.P.D. para dar la visión de que son organismos certificados por la
autoridad de control.
- Se han notificado 300 notificaciones de brechas de seguridad, de las cuales 10 están siendo
investigadas.
- En los municipios de menos de 20.000 habitantes las administraciones públicas no tienen
designado un delegado de protección de datos, se está trabajando en ello.2
BIBLIOGRAFÍA
1. Guía práctica de análisis de riesgos para el tratamiento de datos personales, A.E.P.D. Link:
https://www.aepd.es/guias/index.html
2. Guía práctica para las evaluaciones de impacto en la protecciónd e datos personales, A.E.P.D.
Link: https://www.aepd.es/guias/index.html
3. Guía para el cumplimiento del deber de informar, A.E.P.D. Link:
https://www.aepd.es/guias/index.html
4. Guía pra la gestión y notificaciónd e brechas de seguridad, A.E.P.D. Link: Link:
https://www.aepd.es/guias/index.html
5. “Practicum protección de datos 2.018”, Ed. Arazadi, S.A.U, ISBN 978-84-9098-947-0.
6. Revista CincoDías de “El Pais” el pasado 3.Diciembre.2018. Link:
https://cincodias.elpais.com/cincodias/2018/12/03/legal/1543823598_064718.html
2Entrevista efectuada en la revista CincoDías de “El Pais” el pasado 3.Diciembre.2018. Link:
https://cincodias.elpais.com/cincodias/2018/12/03/legal/1543823598_064718.html