jueves, 22 de noviembre de 2018

El Senado aprueba la Ley Orgánica de Protección de Datos y garantía de los derechos digitales.


El Senado aprueba la Ley Orgánica de Protección de Datos y garantía de los derechos digitales.



 
"RGPD-LOPD: SU CUMPLIMIENTO ES UNA OBLIGACIÓN, NO ES UNA OPCIÓN".
.
Estimado cliente: 
.
El pleno del Senado ha aprobado, por 221 votos a favor, 21 en contra y ninguna abstención, el Proyecto de Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, con la que se adapta el ordenamiento jurídico español al Reglamento general de protección de datos (RGPD) y se completan sus disposiciones. La ley se dirige, además, a garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.
Al no haberse introducido ninguna enmienda en el texto remitido por el Congreso, la Ley queda definitivamente aprobada por las Cortes Generales. La norma entrará en vigor el día siguiente al de su publicación, lo que se espera que tenga lugar con la mayor rapidez (arts. 90 de la Constitución y 132 del Reglamento del Congreso).
Contenido y estructura de la LOPD de 2019
La norma consta de 97 artículos, organizados en 10 títulos; 22 disposiciones adicionales; 6 transitorias; 1 derogatoria y 16 finales.
El Título I, artículos 1 a 3, relativo a las disposiciones generales, regula el objeto y el ámbito de aplicación de la ley y establece que el derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.
Incluye la regulación de los datos de las personas fallecidas, pues, tras excluir del ámbito de aplicación de la ley su tratamiento, se permite que las personas vinculadas al fallecido por razones familiares o de hecho o sus herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido.
También excluye del ámbito de aplicación los tratamientos que se rijan por disposiciones específicas.
El Título II (arts. 4 a 10) regula los principios de protección de datos: exactitud de los datos; deber de confidencialidad; el tratamiento basado en el consentimiento del afectado; el consentimiento de los menores de edad; el tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos; las categorías especiales de datos y el tratamiento de datos de naturaleza penal.
Destacan en particular las posibles habilitaciones legales para el tratamiento fundadas en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Este es el caso, por ejemplo, de las bases de datos reguladas por ley y gestionadas por autoridades públicas que responden a objetivos específicos de control de riesgos y solvencia, supervisión e inspección del tipo de la Central de Información de Riesgos del Banco de España regulada por la Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero, o de los datos, documentos e informaciones de carácter reservado que obren en poder de la Dirección General de Seguros y Fondos de Pensiones de conformidad con lo previsto en Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
Se podrán igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras, cuando ello derive del ejercicio de potestades públicas o del cumplimiento de una obligación legal y sólo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el reglamento europeo, cuando derive de una competencia atribuida por la ley.
Se mantiene la prohibición de consentir tratamientos con la finalidad principal de almacenar información identificativa de determinadas categorías de datos especialmente protegidos, como la creación de «listas negras» de sindicalistas.
La Ley consagra el principio de reserva de ley para el tratamiento de categorías especiales de datos, pero dejando a salvo las distintas habilitaciones legales actualmente existentes, tal y como se indica específicamente, respecto de la legislación sanitaria y aseguradora, en la disposición adicional decimoséptima que, además, introduce una serie de previsiones encaminadas a garantizar el adecuado desarrollo de la investigación en materia de salud, y en particular la biomédica, ponderando los indudables beneficios que la misma aporta a la sociedad con las debidas garantías del derecho fundamental a la protección de datos.
El Título III, sobre los derechos de las personas, se organiza en dos capítulos, el primero, “Transparencia e información” (art. 11) recoge la denominada «información por capas» ya generalmente aceptada en ámbitos como el de la videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales como las «cookies»), facilitando al afectado la información básica, si bien, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información. En el segundo Capítulo de este Título, “Ejercicio de los derechos” (arts. 12 a 18), se contienen las disposiciones generales sobre ejercicio de los derechos y se regula el ejercicio de los derechos de acceso; rectificación; supresión.; a la limitación del tratamiento; a la portabilidad y de oposición.
El Título IV (arts. 19 a 27), contiene las disposiciones aplicables a una relación de tratamientos concretos que, según la exposición de motivos, “en ningún caso debe considerarse exhaustiva de todos los tratamientos lícitos”. Dentro de ellos se incluye, en primer lugar, aquellos tratamientos respecto de los que el legislador establece una presunción iuris tantum de prevalencia del interés legítimo del responsable cuando se lleven a cabo con una serie de requisitos, como el de los datos de contacto, de empresarios individuales y de profesionales liberales; de los sistemas de información crediticia y el de los tratamientos relacionados con la realización de determinadas operaciones mercantiles.
Junto a estos supuestos se recogen otros tratamientos, como los tratamientos con fines de videovigilancia, los ficheros de exclusión publicitaria o los sistemas de denuncias internas, en los que la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1 e) del Reglamento (UE) 2016/679.
Finalmente, se hace referencia en este título a la licitud de otros tratamientos regulados en el Capítulo IX del reglamento, como los relacionados con la función estadística o con fines de archivo de interés general, así como el tratamiento de datos relativos a infracciones y sanciones administrativas.
El Título V se ocupa del responsable y del encargado del tratamiento. Su Capítulo I (“Disposiciones generales. Medidas de responsabilidad activa”), arts. 28 a 32, regula las obligaciones generales del responsable y encargado del tratamiento; los supuestos de corresponsabilidad; el representantes de los responsables o encargados del tratamiento no establecidos en la Unión Europea; el registro de las actividades de tratamiento y el cuestionado bloqueo de los datos.
El Capítulo II (“Encargado del tratamiento”), consta de un único artículo con el mismo título.
El Capítulo III (“Delegado de protección de datos”, arts. 34 a 37), regula diversos aspectos de esta relevante figura, como su designación; su cualificación; su posición dentro de las organizaciones y su intervención en caso de reclamación ante las autoridades de protección de datos.
Finalmente, el Capítulo IV de este Título se ocupa de los “Códigos de conducta y certificación” (arts. 38 y 39).
En el Título VI (arts. 40 a 43) se contienen las normas aplicables a las transferencias internacionales de datos, adaptando lo previsto en el RGPD en cuanto a los procedimientos a través de los cuales las autoridades de protección de datos pueden aprobar modelos contractuales o normas corporativas vinculantes, supuestos de autorización de una determinada transferencia, o información previa
El Título VII (“Autoridades de protección de datos”) se estructura en dos capítulos. El primero dedicado a la Agencia Española de Protección de Datos, se divide en tres secciones. La primera, (“Disposiciones generales”, arts. 44 a 50), regula su régimen jurídico, presupuestario y de personal; sus funciones y potestades; la Presidencia de la Agencia, su Consejo Consultivo y la publicidad de sus actuaciones.
La Sección 2.ª (arts. 51 a 56), se refiere a las potestades de investigación de la AEPD y sus planes de auditoría preventiva, regulando su ámbito y personal; el deber de colaboración con ella; el alcance de su actividad de investigación; sus planes de auditoría.
Y la Sección 3.ª de este Capítulo (arts. 55 y 56), contempla las potestades de regulación y las Circulares de la AEPD, así como su acción exterior.
Dentro del mismo Título VII, su Capítulo II regula las Autoridades autonómicas de protección de datos en dos secciones. La primera (arts. 57 a 59), se dedica a las disposiciones generales que las regulan, a la cooperación institucional y a los tratamientos contrarios al Reglamento (UE) 2016/679. La segunda (arts. 60 a 62), regula la coordinación de sus actividades en el marco de los procedimientos establecidos en el Reglamento, como sucede en los casos de emisión de dictamen o de resolución de conflictos por el Comité Europeo de Protección de Datos; así como en caso de tratamientos transfronterizos.
El Título VIII (arts. 63 a 69), se refiere los procedimientos sancionadores por vulneración de la normativa de protección de datos: su régimen jurídico; la iniciación y duración del procedimiento; la admisión a trámite de las reclamaciones; el alcance territorial; las actuaciones previas de investigación y las medidas provisionales y de garantía de los derechos aplicables. Destaca la importancia de la determinación, con carácter previo a la tramitación de cualquier procedimiento, de si el tratamiento tiene o no carácter transfronterizo y, en caso afirmativo, la autoridad de protección de datos que ha de considerarse principal.
A continuación, el Título IX regula el fundamental régimen sancionador. En los arts. 70 a 78 se regulan los sujetos responsables; se tipifican las infracciones y se identifican las muy graves, graves y leves, a los solos efectos, se destaca “de determinar los plazos de prescripción, teniendo la descripción de las conductas típicas como único objeto la enumeración de manera ejemplificativa de algunos de los actos sancionables que deben entenderse incluidos dentro de los tipos generales establecidos en la norma europea”); la prescripción de las infracciones (“partiendo de la exigencia constitucional del conocimiento de los hechos que se imputan a la persona, pero teniendo en cuenta la problemática derivada de los procedimientos establecidos en el reglamento europeo, en función de si el procedimiento se tramita exclusivamente por la Agencia Española de Protección de Datos o si se acude al procedimiento coordinado del artículo 60 del Reglamento general de protección de datos”); las sanciones y medidas correctivas y la prescripción de las sanciones.
Finalmente, la Ley incorpora un Título X (arts. 79 a 97), denominado “Garantía de los derechos digitales”, a fin de “reconocer y garantizar un elenco de derechos digitales de los ciudadanos conforme al mandato establecido en la Constitución”.
Según el preámbulo de la Ley este título obedece a la necesidad de “abordar el reconocimiento de un sistema de garantía de los derechos digitales que, inequívocamente, encuentra su anclaje en el mandato impuesto por el apartado cuarto del artículo 18 de la Constitución Española y que, en algunos casos, ya han sido perfilados por la jurisprudencia ordinaria, constitucional y europea”, todo ello en tanto “una deseable futura reforma de la Constitución” no incluya “la actualización de la Constitución a la era digital y, específicamente, [eleve] a rango constitucional una nueva generación de derechos digitales”.
Bajo estas premisas la nueva ley reconoce nuevos derechos como el de neutralidad de Internet; el de acceso universal a la Red; el derecho a la seguridad digital; el derecho a la educación digital y la protección de los menores en Internet; el derecho de rectificación en Internet y el de actualización de informaciones en medios de comunicación digitales; el derecho al olvido en búsquedas de Internet y en servicios de redes sociales y servicios equivalentes; el derecho de portabilidad en servicios de redes sociales y servicios equivalentes el también nuevo derecho al testamento digital.
Destacadamente, se añaden una serie de nuevos derechos en el ámbito laboral, como el derecho a la intimidad y al uso de dispositivos digitales; el derecho a la desconexión digital en el ámbito laboral; el derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo; el derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral y los derechos digitales en la negociación colectiva.
En cuanto a las disposiciones adicionales, regulan cuestiones como las medidas de seguridad en el ámbito del sector público; el cómputo de plazos; la incorporación de deudas a sistemas de información crediticia; la identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos; la potestad de verificación de las Administraciones Públicas; el tratamiento de datos de salud y las prácticas agresivas en materia de protección de datos.
La disposición derogatoria única afecta expresamente a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal así como al Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos y, genéricamente, a “cuantas disposiciones de igual o inferior rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica”.
Las disposiciones transitorias están dedicadas, entre otras cuestiones, al estatuto de la Agencia Española de Protección de Datos, el régimen transitorio de los procedimientos o los tratamientos sometidos a la Directiva (UE) 2016/680; los contratos de encargado del tratamiento y la reutilización con fines de investigación en materia de salud y biomédica de datos personales recogidos con anterioridad a la entrada en vigor de esta ley.
Por último, las disposiciones finales modifican la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil y la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa; la Ley Orgánica, 6/1985, de 1 de julio, del Poder Judicial: la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno: la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General: la Ley 14/1986, de 25 de abril, General de Sanidad: la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica; la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas; la Ley Orgánica 2/2006, de 3 de mayo, de Educación; la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades; el Texto Refundido de la Ley del Estatuto de los Trabajadores y el Texto Refundido de la Ley del Estatuto Básico del Empleado Público.


martes, 13 de noviembre de 2018

LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS (DPD) Y SU NOMBRAMIENTO OBLIGATORIO EN DETERMINADOS SUPUESTOS.



"RGPD-LOPD: SU CUMPLIMIENTO ES UNA OBLIGACIÓN, NO ES UNA OPCIÓN"
.
Estimado cliente: 
.
A lo largo de este año hemos estado informándole de cómo ha ido evolucionando las principales novedades relativas al Reglamento General de Protección de Datos 679/2016 de 27 de abril de 2016 (en adelante RGPD) y en vigor desde el pasado día 25 de mayo de 2018. Asimismo, le informábamos que en España aún se estaba tramitando en el Parlamento la aprobación de la nueva Ley Orgánica de Protección de Datos. 
 
Finalmente, tras la aceptación de enmiendas y modificaciones previas, el Congreso de los Diputados aprobó el Proyecto de Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD y GDD) el pasado día 4 de octubre y esperamos sea publicada en el BOE y entre en vigor antes de final de este año.
.
Son varias las regulaciones que contempla la LOPD y GDD que el RGPD dejaba a libre disposición en cada Estado Miembro. 
.
En este Boletín nos queremos centrar en la figura del Delegado de Protección de Datos (DPD), dada su importancia para muchas entidades, especialmente para aquellas que estén obligadas a nombrarlo. 
 
¿Qué es un Delegado de Protección de Datos (DPD)?
.
El DPD, es la figura garante del cumplimiento de la normativa de protección de datos en las organizaciones. Hay que tener presente que la responsabilidad final del cumplimiento recae en el responsable o encargado.
 
El DPD, se nombra en base a unos conocimientos y cualidades profesionales especializados tanto en Derecho como en práctica en protección de datos, pero no se le exige ningún tipo de titulación y tampoco tiene que estar certificado.
Es y actúa de forma independiente y entre las funciones principales que realiza están las de informar y asesorar al responsable o encargado del tratamiento además de supervisar que cumplen con el RGPD

¿Cuándo se debe nombrar un delegado de protección de datos?
.
En base a la normativa del RGPD, los supuestos en que es obligatorio la designación de un Delegado son:
 
1.- Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
2.- Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, debido a su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
3.- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales (artículo 9 del RGPD) y de datos relativos a condenas e infracciones penales (artículo 10 del RGPD).
 
El RGPD en su artículo 37 indica, con carácter general, aquellas entidades obligadas a designar un DPD, sin embargo, no especifica qué actividades profesionales están obligadas a disponer de esta figura profesional.  Por ello, la el Proyecto de LOPD y GDD en su artículo 34, concreta qué actividades y organizaciones están obligadas a disponer de un DPD. Éstas son: 
 
a) Los colegios profesionales y sus consejos generales.
b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito.
g) Las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores. i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual. m) Las entidades que tengan como uno de sus objetos la emisión de Informes comerciales que puedan referirse a personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
ñ) Las empresas de seguridad privada.
o) Las federaciones deportivas cuando traten datos de menores de edad.

¿Puede nombrarse un delegado de protección de datos sin ser obligatorio?
.
En aquellos supuestos en que no sea obligatorio el nombramiento de un delegado de protección de datos (DPD), los responsables y encargados de tratamiento, si así lo consideran, pueden proceder a nombrar un DPD. Así lo indica el RGPD en su artículo 37, apartado 4 y la LOPD y GDD en su artículo 34, apartado 2.  
Por tanto, los Responsables y Encargados pueden nombrar un DPD de forma voluntaria, y se aplicarán a su designación los mismos requisitos que la Normativa de Protección de Datos establece para aquellos supuestos en los que dicha designación fuese obligatoria.
En conclusión, esta indicación es muy importante tenerla en cuenta, especialmente para aquellas organizaciones que, aunque no figuren en la lista de entidades obligadas, sí podrían estar muy afectadas por la Normativa de Protección de Datos, siendo muy recomendable contar con un DPD para una mayor seguridad jurídica.
.
¿Puede existir un único delegado de protección de datos para varios responsables?
.
. El artículo 37, apartado 2, del RGPD permite a un grupo empresarial designar un único DPD, siempre que éste "sea fácilmente accesible desde cada establecimiento".
Sus datos de contacto están disponibles de conformidad con los requisitos del RGPD.
El DPD, con ayuda de un equipo si fuese necesario, debe estar en condiciones de comunicarse eficazmente con los interesados y cooperar con las correspondientes autoridades de control.

 
¿El delegado de protección de datos puede ser externo a la organización?
.
Sí. La función del DPD puede ejercerse bajo el marco de un contrato de servicios con una persona física o con una entidad ajena a la organización del responsable o del encargado del tratamiento.
Para el caso de tener un DPD externo debemos tener en cuenta que éste el DPD cumpla todos los requisitos aplicables de la sección 4 del RGPD y que esta función no represente un conflicto de intereses.
Igualmente que si fuera designada una persona interna, es importante esté protegido por las disposiciones del RGPD, como por ejemplo la que impiden la rescisión injustificada del contrato de servicios motivada por las actividades del DPD o la destitución improcedente del miembro de la organización que realice las funciones del DPD.
 
¿Debe comunicarse el nombramiento de delegados de protección de datos a la AEPD?
.
, el nombramiento de DPD de acuerdo al RGPD, debe comunicarse a la Autoridad de Control: AEPD o Autoridad de Protección de Datos autonómica en el ámbito de sus competencias. 
 
POR TODO LO ANTERIORMENTE EXPUESTO:
.
Si su empresa se dedica a alguna de las actividades profesionales que están obligadas a designar un DPD y tiene contratado nuestros servicios de consultoría, en breve uno de nuestros consultores contactará con usted para asesorarle al respecto. 
 
Si su entidad no aparece en el listado y realiza tratamientos de datos que estén especialmente afectados por la normativa de protección de datos, tales como datos de salud, elaboración de perfiles, usos de  tecnologías de seguimiento, toma de decisiones automatizadas sobre tratamientos de datos automatizados o cualquier otro tratamiento susceptible de provocar un gran riesgo para los derechos y las libertades de los afectados en caso de incidentes con la información, le recomendamos que contacte con nosotros y valore la designación de un DPD. 
 
* Más de 15 años de experiencia nos avalan.
* Confíe en nuestra empresa y evite sanciones millonarias.
* Somos Delegados de Protección de Datos, certificados por la Asociación Profesional de Consultores de Protección de Datos – ApCpD-  y por IVAC Instituto de Certificación, acreditado por ENAC. 

Por último, le recordamos que si tiene cualquier consulta que realizarnos, puede contactar con sus consultoras a través de los correos rebeca@prodasur.es y tere@prodasur.es  o bien a través del teléfono habitual en horario de atención al cliente (Mañanas: 9:00 a 15:00 horas - Tardes: 16:00 a a 18:00 horas).
Muchas gracias por su atención. 
 
Sin otro particular aprovechamos la ocasión para agradecerle nuevamente la confianza depositada en nuestra entidad.

.
Rebeca Chablani López y Teresa Aguilera Carrillo
Consultoras RGPD-LOPD.
902 152 225 / 952 603 770
lopd@prodasur.es 
.