jueves, 30 de junio de 2016

LAS PRINCIPALES OBLIGACIONES PARA LAS EMPRESAS QUE ESTABLECE EL NUEVO REGLAMENTO


 
La AGENCIA ESPAÑOLA DE PROTECCION DE DATOS informa de las nuevas obligaciones que van a tener que afrontar las empresas con respecto a sus procedimientos de tratamiento de datos

Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las organizaciones que tratan datos.

 Es lo que se conoce como responsabilidad activa. Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece.

El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. Para ello, el Reglamento prevé una batería completa de medidas:

 

- Protección de datos desde el diseño

- Protección de datos por defecto

- Medidas de seguridad

- Mantenimiento de un registro de tratamientos

- Realización de evaluaciones de impacto sobre la protección de datos

- Nombramiento de un delegado de protección de datos

- Notificación de violaciones de la seguridad de los datos

- Promoción de códigos de conducta y esquemas de certificación.

Consideramos que el papel de las empresas consultoras en Protección de Datos va a ser aún más relevante para ayudar a las empresas/ profesionales a cumplir de forma más adecuada con lo previsto en la ley

En posteriores publicaciones intentaremos esclarecer dentro de lo posible las nuevas obligaciones.

martes, 21 de junio de 2016

A QUE EDAD PUEDEN PRESTAR LOS MENORES EL CONSENTIMIENTO PARA EL TRATAMIENTO DE SUS DATOS


El Reglamento establece que la edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) es de 16 años.

 Sin embargo, permite rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo un límite inferior de 13 años.

 En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad, es necesario el consentimiento de padres o tutores.

Entendemos que la recogida del consentimiento debe ser especialmente cuidadosa en el caso de los menores de edad por este motivo MEGAMAIL CONSULTORES ha elaborado un formulario especialmente diseñado para la recogida de datos en el caso de los menores de edad que acuden a una empresa o profesional acompañados de sus padres o tutores

Si bien la recogida del consentimiento por escrito va a pasar a ser obligatoria en todos los casos en el caso de menores deben extremarse las precauciones con el tratamiento de sus datos personales

Nuestro consejo como empresa consultora en materia de implantación y aplicación de la LOPD siempre va orientado a salvaguardar los derechos de las personas cuyos datos manejan las empresas y profesionales siendo este procedimiento de toma de datos e información sobre el tratamiento de los mismos uno de los pilares fundamentales en materia de protección de datos.

En el caso de las empresas que recopilen datos personales, es importante recordar que el consentimiento tiene que ser verificable y que el aviso de privacidad insertado en las páginas web debe estar escrito en un lenguaje que los niños puedan entender.

miércoles, 15 de junio de 2016

LAS NUEVAS GARANTIAS PARA LOS CIUDADANOS EN RELACION CON EL CONTROL DEL USO DE SUS DATOS



Como ya se ha analizado en una publicación anterior los ciudadanos europeos van a gozar de nuevas garantías en relación con el uso que hacen las diversas entidades de sus datos personales

Una de ellas como ya hemos comentado es la obligación de nombrar un representante ante la UNION EUROPEA de aquellas empresas que no tienen una presencia física en Europea el Reglamento pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la realidad del mundo de internet.

Ello permite que el Reglamento sea aplicable a empresas que, hasta ahora, podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea.

El Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.

El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidas, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.

Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.

martes, 7 de junio de 2016

LAS REPERCUSIONES PARA LAS EMPRESAS DE LA ENTRADA EN VIGOR DEL NUEVO REGLAMENTO DE PROTECCION DE DATOS


LAS REPERCUSIONES PARA LAS EMPRESAS DE LA ENTRADA EN VIGOR DEL NUEVO REGLAMENTO DE PROTECCION DE DATOS

En esta publicación se analizarán las posibles repercusiones que tendrá para las empresas /organizaciones / profesionales que están obligadas a implementar la LEY ORGANICA DE PROTECCION DE DATOS.

En primer lugar recordar que la aplicación efectiva de la nueva norma no entrará en vigor hasta  el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables.

Este periodo de  transición de dos años hasta la aplicación del Reglamento tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones Europeas y también las organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.

En esos dos años, por ejemplo, los Estados miembros pueden adoptar o iniciar la elaboración de determinadas normas que sean necesarias para permitir o facilitar la aplicación del Reglamento

El  nuevo Reglamento introduce algunas novedades en cuanto a los sujetos a los que puede ser aplicable dado que  se aplicará como hasta ahora a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.

 Esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades. Los datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.

A nuestro juicio esta ampliación de obligaciones a los responsables del tratamiento de los datos supondrá mayores garantías para las personas físicas cuyos datos son empleados por estas organizaciones.

viernes, 3 de junio de 2016


LAS NOVEDADES INTRODUCIDAS POR EL NUEVO REGLAMENTO DE PROTECCION DE DATOS

 

En las siguientes entregas iremos analizando las novedades que serán aplicables tras la entrada en vigor del nuevo REGLAMENTO DE PROTECCION DE DATOS

Este nuevo reglamento ha entrado en vigor el 25 de mayo de 2016

La AGENCIA ESPAÑOLA DE PROTECCION DE DATOS publica en su página web una serie de directrices para tener en cuenta

Este nuevo reglamento va a suponer un cambio sustancial en las políticas de tratamiento de datos y por otra parte a nuestro juicio introduce nuevas medidas a favor de la defensa de la privacidad de los datos de las personas físicas

1 .La LOPD sigue vigente el nuevo reglamento no será de aplicación hasta mayo de 2018

2.El plazo de 2 años se concede a los estados miembros para desarrollar la legislación interna que resulte de la transposición de la normativa europea y también a las organizaciones que traten datos personales para que vayan introduciendo las modificaciones en su operativa que sean necesarias para cumplir adecuadamente con el nuevo marco normativo.

 
3 .El nuevo reglamento afectará a las empresas y organizaciones que estén radicadas en la UNION EUROPEA y a todas aquellas que realicen tratamientos de datos derivados de bienes y servicios ofertados en la UE aunque estos no tengan una sede física en Europa.

 
4. El nuevo reglamento supone una mayor garantía para los derechos de los ciudadanos de la Unión el reglamento pretende adaptar los criterios de las empresas que deben cumplirlo a la nueva realidad del mundo de internet

 
5.Se introducen nuevas herramientas para los ciudadanos como el derecho al olvido según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido recogido esto, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.

6. La edad para prestar el consentimiento al tratamiento de datos se establece en 16 años con la posibilidad de rebajarla en función del desarrollo normativo de cada país miembro

 
7 .Se introduce el concepto de la responsabilidad activa de las organizaciones que tratan datos esto supone que las empresas deberán adoptar un procedimiento de prevención.

 Esta responsabilidad activa supone la obligación de establecer claramente las medidas y procedimientos que afectan al tratamiento de datos personales.

 

8. Se establece un mayor compromiso de las empresas y organizaciones  El Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos. Pero ello no implica necesariamente ni en todos los casos una mayor carga. En muchos casos será sólo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora.

9. Cambia la forma en la que hay que obtener el consentimiento  El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es “inequívoco”, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento ha de ser “explícito” en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles

10. las empresas deben revisar sus avisos de privacidad Con carácter general el Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones  Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos

11. Se implanta el sistema de  ‘ventanilla única’

Este sistema supone que para la empresas u organizaciones que están establecidos en varios Estados miembros o que, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la UE tengan una única Autoridad de protección de datos como interlocutora

Este nuevo sistema no supone que los ciudadanos tengan que relacionarse con varias Autoridades o con Autoridades distintas de la del Estado donde residan podrán  plantear las quejas ante la autoridad competente en su estado de residencia y luego se canalizará de forma conjunta a nivel europeo.

 

La ventanilla única, en todo caso, no afectará a empresas que sólo estén en un Estado miembro y que realicen tratamientos que afecten sólo a interesados en ese Estado

 
12. ¿Tienen las empresas que empezar a aplicar ya las medidas contempladas en el Reglamento?

No. El Reglamento está en vigor, pero no será aplicable hasta 2018.

Sin embargo, puede ser útil para las organizaciones que tratan datos empezar ya a valorar la implantación de algunas de las medidas previstas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de regirse los tratamientos de datos en España.