lunes, 23 de mayo de 2022

BOLETÍN DE NOTICIAS RGPD-LOPD MAYO 2022

 

BOLETÍN DE NOTICIAS MAYO 2022

PROTECCIÓN DE DATOS Y SEGURIDAD INFORMÁTICA

Noticias de prensa sobre Protección de Datos más interesantes:

11/01/2022 Las multas por Protección de Datos aumentan un 521% durante 2021. FUENTE: eleconomista.es (AMPLIAR)

14/01/2022. Piden a Protección de Datos que aclare si el uso de las cookies de Google Analytics conlleva una transferencia de datos a EEUU, lo que vulneraría el RGPD. FUENTE: businessinsider.es (AMPLIAR)

14/01/2022. El 2022 año del dato personal. FUENTE: cincodias.elpais.com (AMPLIAR)

14/01/2022. Confirmada la sanción a una empresa que dio un microcrédito a una persona que suplantó una identidad. FUENTE. Expansión.com (AMPLIAR)

26/01/2022. Cómo gestionar tus derechos ante la recepción de publicidad no deseada. FUENTE: aepd.es (AMPLIAR)

28/01/2022. El Colegio de Registradores recibe el premio de la Agencia Española de Protección de Datos por su Guía de buenas prácticas. FUENTE: confilegal.com (AMPLIAR)

28/01/2022. La AEPD y el Ministerio de Consumo lanzan una campaña con consejos para actuar ante una suplantación de identidad. FUENTE: aepd.es (AMPLIAR)

31/01/2022. Amazon, WhatsApp y Google lideran el ranking de las mayores multas de la UE por violar la protección de datos. FUENTE: larazon.es (AMPLIAR)

03/02/2022. Protección de datos multa con 5,81 millones a varias operadoras por duplicados fraudulentos de tarjetas SIM. FUENTE: elespanol.com (AMPLIAR)

03/02/2022. Terremoto en las empresas porque Google Analytics vulnera la normativa europea. FUENTE: cincodias.elpais.com (AMPLIAR)

07/02/2022. ¿Por qué considera Meta sacar Facebook e Instagram de la Unión Europea? FUENTE: elmundo.es (AMPLIAR)

12/02/2022 Se filtran los datos de 21 millones de usuarios a través de Telegram por utilizar VPN gratuitas. FUENTE: 20minutos.es (AMPLIAR)

21/2/2022. Las sanciones de la AEPD preocupan a los CEO de las grandes empresas: Han aumentado un 107 %. FUENTE: confilegal.com (AMPLIAR)

22/02/2022. ¿Pueden negarle a los padres el acceso a un informe médico de un hijo cuando ya es mayor de 14 años? FUENTE; diariosur.es (AMPLIAR)

24/02/2022. El empresario responde por los medios puestos ante una violación de datos. FUENTE: eleconomista.es (AMPLIAR)

01/03/2022. Protección de Datos multa a Amazon con dos millones de euros por exigir certificado de delito de penales para trabajar. FUENTE: eleconomista.es (AMPLIAR)

03/05/2022. Compartir contenidos de manera responsable a través de WhatsApp. FUENTE: aepd.es (AMPLIAR)

04/03/2022 La AEPD multa a CaixaBank con 2 millones por ligar la exención de comisiones a la cesión de datos personales. FUENTE: europapress.es (AMPLIAR)

07/03/2022. La nueva Ley de Datos completa la estrategia europea. FUENTE: expansion.com (AMPLIAR)

18/03/2022. Las reclamaciones presentadas ante la AEPD aumentaron un 35% en 2021. FUENTE: aepd.es (AMPLIAR)

21/03/2022. El Supremo suspende la renovación de la Agencia de Protección de Datos porque el proceso está “viciado de raíz”. FUENTE; elpais.com (AMPLIAR)

23/03/2022. Comunicado sobre el registro de datos de ciudadanos por parte de alojamientos turísticos. FUENTE: aepd.es (AMPLIAR)

24/03/2022. La AEPD impone una multa de 30.000€ a un hotel por incumplir el RGPD. FUENTE: hosteltur.com (AMPLIAR)

28/03/2022. Nuevo acuerdo entre Europa y Estados Unidos por la transmisión y protección de datos. FUENTE: eleconomista.es (AMPLIAR)

18/04/2022. Brechas de datos personales: entornos de desarrollo y preproducción. FUENTE: aepd.es (AMPLIAR)

17/04/2022. Diez preguntas claves sobre cómo adaptar los canales de denuncias al Anteproyecto de Ley del Gobierno. FUENTE: elconfilegal.com (AMPLIAR)

20/04/2022. El Ayuntamiento de Estepona licita un sistema de cámaras inteligentes controladas por la Policía Local. FUENTE: malagahoy.es (AMPLIAR)

23/04/2022. Europa fija 3 nuevas técnicas que mejoran la protección de datos sanitarios. FUENTE: redaccionmedica.com (AMPLIAR)

04/05/2022. Nueva sección sobre salud y protección de datos. FUENTE: aepd.es (AMPLIAR)

05/5/2022. La AN ratifica la sanción de la AEPD de 250.000 euros a LaLiga por el uso de su ‘app’ móvil. FUENTE: confiegal.com (AMPLIAR)

06/05/2022 Más de 40 detenidos en una trama de robos de datos personales a una empresa eléctrica. FUENTE; rtve.es (AMPLIAR)

18/05/2022. La AEPD sanciona a Google LLC por ceder datos a terceros sin legitimación y obstaculizar el derecho de supresión. FUENTE: aepd.es (AMPLIAR)

18/05/2022. El Consejo aprueba la Ley de Gobernanza de Datos. FUENTE: cde.ual.es (AMPLIAR)



jueves, 5 de mayo de 2022

LA IMPORTANCIA DE FIRMAR LOS CONTRATOS CON LOS ENCARGADOS DE TRATAMIENTO.

 


A través del presente comunicado queremos volver a recordarles uno de los aspectos de mayor relevancia en el cumplimiento del Reglamento (EU) 2016/679 de Protección de datos personales (en adelante, RGPD).

Concretamente nos referimos a las obligaciones que recaen en el Responsable y en el Encargado con respecto a las relaciones comerciales mantenidas para la contratación y prestación de servicios respectivamente y la necesidad de firmar un contrato de encargo.

Pero, antes de continuar, es importante tener claro el concepto jurídico de ambas figuras. Estas definiciones las encontramos en el artículo 4 del RGPD:

  • RESPONSABLE DEL TRATAMIENTO: es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento
  • ENCARGADO DEL TRATAMIENTO: es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

De la lectura de estas definiciones concluimos que la principal diferencia entre una figura y otra está en que el Responsable determina los fines y los medios del tratamiento de los datos personales mientras que el encargado trata dichos datos siguiendo las instrucciones del Responsable.

Como ejemplos de Encargados de Tratamiento tenemos las empresas que prestan el servicio de videovigilancia, las gestorías fiscales, laborales y contables, las empresas de mantenimiento informático de software, etc.

Debemos mencionar, determinados casos en que, a priori, parecen encargados del tratamiento, pero la propia AEPD se ha pronunciado al respecto indicando que no son ET: son los casos de los auditores contables y las empresas de transporte y mensajería, que no son Encargados de Tratamiento, sino responsables. En el caso de los auditores contables se fundamenta en que estos actúan como una figura autónoma y no reciben instrucciones de quién los contrata. En el caso de las empresas de mensajería se fundamenta en que los datos que se facilitan a la empresa se incorporan a su base de datos para realizar la entrega al destinatario.

Ambas figuras deben quedar vinculadas jurídicamente a través de un contrato o acto jurídico válido en Derecho. La forma más habitual es el uso del Contrato, a través del cual se hará constar todos los aspectos relativos a la relación mantenida como, por ejemplo: el objeto del servicio prestado, las categorías de datos tratadas, los tipos de tratamientos se van a llevar a cabo, la existencia de subcontrataciones, etc.

El Encargado no podrá subcontratar el servicio a un tercero sin la autorización previa del responsable. El responsable, actuando en base a sus obligaciones de diligencia debida y con el objeto de salvaguardar los datos que están bajo su responsabilidad, podrá oponerse a la subcontratación si concluye que dicha entidad no cumple con las garantias adecuadas en materia de privacidad y protección de datos. En caso de proceder con la subcontratación, la subcontrata deberá disponer de un contrato o acto jurídico vinculante con las mismas obligaciones que las estipuladas entre el Responsable y el Encargado. En caso de incumplimiento por parte del subcontratado, el Encargado será quién responderá.

Es importante saber que este contrato debe cumplir con una serie de requisitos y contenido mínimo en cumplimiento de lo dispuesto en el Art. 28 del RGPD ya que, en caso contrario, dicho contrato será nulo de pleno Derecho, es decir, no tendrá validez jurídica y será como si nunca se hubiera celebrado.

En el caso de encontrarnos con una comunicación de datos personales fuera del Espacio Económico Europeo (UE, Islandia, Liechtenstein y Noruega) se debe seguir garantizando el nivel de protección que establece el Reglamento. Las transferencias internacionales podrán legitimarse en base a los siguientes supuestos:

  • Transferencia basada en una decisión de adecuación de la comisión.
  • Normas corporativas vinculantes.
  • Aportación de las garantías adecuadas.
  • Excepciones para situaciones específicas.
  • Autorización expresa de la AEPD.

En este punto debemos mencionar el caso de EEUU, con quién, hasta julio de 2020, se realizaban las transferencias internacionales de datos en base al "Privacy Shield" hasta que este fue invalidado. Esta herramienta jurídica no fue sustituida por otra y, por tanto, dichas transferecnias internacionales estaban en una situación de "vacio legal". Actualmente, la UE y EEUU han alcanado un nuevo acuerdo para hacer una regulación que permita cumplir con los estándares de privacidad recogidos en la normativa europea de protección de datos.

Por otro lado, cuando nos enfrentamos a tratamientos de datos a través de diversas tecnologías como wearables, internet de las cosas, servidores externos, etc. o cuando se están transmitiendo datos personales a territorios o países que no garantizan el respeto a la privacidad o a la protección de los datos al nivel exigido por las leyes de la Unión Europea, el escenario se torna más complejo requiriendo un análisis más pormenorizado.

En la práctica se dan situaciones en las que puede resultar complicado determinar las relaciones entre ambas partes, el rol que cada uno desempeña, así como el grado de responsabilidad de cada uno llegando inclusive a suceder, en determinados supuestos, que ambas partes pueden ser Responsables (corresponsabilidad) del total de los tratamientos o solo sobre una parte de los mismos.

Por todo ello, es fundamental que cuentes con el asesoramiento de profesionales expertos en materia de protección de datos. En PRODASUR somos consultores con una amplia trayectoria y experiencia profesional en esta materia; también disponemos de Certificación como Delegados de Protección de datos. Si aún no cumples con esta normativa legal te animamos a que contactes con nosotros.

Para tu tranquilidad ponemos a tu disposición a nuestros consultores expertos quienes te darán todo el apoyo que necesites, te facilitarán toda la documentación jurídica debidamente redactada de acuerdo a tus necesidades específicas y te darán las pautas necesarias para que tengas todo bajo control, cumplas debidamente con la normativa de protección de datos y proyectes una imagen corporativa de compromiso con la privacidad de las personas con las que te relacionas. NO DUDES EN PEDIRNOS MÁS INFORMACIÓN.