Tratamiento de datos a menores

Tratamiento de datos a menores

En el RGPD aparecen varias referencias al tratamiento de datos a menores:

  • En la regulación de los intereses legítimos del responsable como base legal del tratamiento, no será aplicable en el caso de que prevalezcan los derechos, libertades o intereses de los afectados, en particular si se trata de menores.
  • Al indicar la información a los interesados  con relación del tratamiento o al ejercicio de sus derechos deberá ser concisa, transparente, inteligible y proporcionada con el lenguaje claro y sencillo cuando los interesados sean niños.
  • En el contexto del derecho al borrado de datos
  • Debe ser una de las prioridades principales de las autoridades de protección de datos la del fomento de las actividades de formación y sensibilización dirigidas a menores.
  • En referencia a la realización de perfiles en los contextos de las explicaciones ofrecidas por los considerandos del RGPD.

IMPORTANTE

Se mencionan explícitamente a menores en el RGPD en la obtención del consentimiento en el ámbito de la oferta directa de servicios de la sociedad de la información. Este consentimiento lo consideran válido el RGPD  a partir de los 16 años y por debajo de esta edad será válido con la autorización de los padres o tutores legales.

El RGPD permite a los estados miembros el establecimiento de edades inferiores siempre que no sean por debajo de los 13años. Los estados miembros podrán hacer, y de hecho lo harán, uso de esta posibilidad.

OBLIGACIÓN

Se va a requerir a los responsables que hagan esfuerzos razonables teniendo en cuenta el estado de la tecnología para que verifiquen que los menores que nos dan su consentimiento cumplen con la edad límite o están autorizados por sus padres o tutores.

Transferencias internacionales de los datos

Transferencias internacionales de los datos

El modelo que establece el RGPD para transferencias internacionales de datos sigue el mismo criterio que el que estableció la directiva 95/46  y las legislaciones nacionales de trasposición.

OBLIGACIÓN

Solo se podrán comunicar datos fuera del Espacio Económico Europeo:

  • A países, territorios o sectores específicos (y organizaciones internacionales) sobre las que la Comisión haya reconocido que ofrecen un nivel de protección adecuado.
  • Cuando se hayan ofrecido garantías adecuadas de protección que recibieran en destino los datos.
  • Si se aplica alguna de las excepciones por los que se pueden transferir datos sin garantías de protección por la necesidad vinculada al propio interés del titular de los datos o a sus intereses generales.

IMPORTANTE

Desde la óptica de los responsables o encargados que actualmente realizan transferencias internacionales o que los efectúen en el marco del RGPD:

  • Las decisiones adoptadas por la Comisión anteriormente  la aplicación del RGPD serán válidas y podrán seguir realizándose las transferencias, mientras no sean sustituidas o derogadas.
  • Las clausulas tipo para los contratos establecidos por la Comisión, en los que se establecen las garantías para las transferencias seguirán siendo válidas, en tanto la Comisión no las sustituya o las derogue.
  • Las autorizaciones sobre las transferencias internacionales emitidas por las autoridades nacionales, seguirán siendo válidas mientras que las autoridades no las revoquen.
  • El exportador deberá ofrecer garantías sobre la protección que los datos van a recibir en destino. Este exportador podrá ser tanto responsable como encargado de tratamiento.
  • Hay una ampliación de la lista de posibles instrumentos para ofrecer garantías, incluyendo entre otros Normas Corporativas Vinculantes para responsables y encargados, los códigos de conducta y esquemas de certificación, así como de cláusulas contractuales y modelos que puedan aprobar las autoridades de protección de datos.
  • En los casos de Normas Corporativas Vinculantes, cláusulas contractuales estándar, códigos de conducta y esquemas de certificación, la transferencia no requerirá la autorización de la autoridad de supervisión.
  • Se añade una excepción al listado establecido en la Directiva 95/46, en la que posibilita a un responsable transferir datos a un país sin un nivel adecuado de protección cuando la transferencia sea necesaria para satisfacer interese legítimos, imperiosos del responsable y la transferencia no es repetitiva afectando a un número limitado de interesados. Hay que tener en cuenta que esto será posible si no prevalecen los derechos, intereses y libertades de los afectados y habrá que comunicarlo a la autoridad de control.
Evaluaciones de Impacto sobre la Protección de Datos

Evaluaciones de Impacto sobre la Protección de Datos

LA OBLIGACIÓN

La diferencia con la anterior LOPD es que el RGPD no establece un listado de medidas de seguridad que tengan que aplicarse en función del tipo de datos a tratar, sino que establece que los Responsable y encargados aplicaran las medidas técnicas y organizativas adecuadas al riesgo que  comporte el tratamiento. Esto va a suponer realizar una Evaluación de los riesgos relacionados a cada tratamiento y establecer las medidas de seguridad a implementar.

Los responsables del tratamiento estarán obligados a realizar una Evaluación de Impacto sobre Protección de Datos (EIPD), con carácter previo a la puesta en marcha de los tratamientos que tengan un posible alto riesgo para los derechos y libertades de los interesados.

Cuando el análisis de riesgo se realice sobre tratamientos comenzados con anterioridad a la entrada en vigor del RGPD, los responsables deberán realizar una EIPD sobre los mismos para poder adoptar los medios adecuados  a lo establecido en el RGPD.

Si al realizar una EIPD se identifica un tratamiento de alto riesgo y según el responsable no se puede reducir por medios razonables en términos de tecnología disponible y costes de aplicación, el responsable consultará con la autoridad de control. Adjuntará la documentación que prevé el RGPD, incluyendo la EIPD. La autoridad de control emitirá recomendaciones o ejercerá los poderes que le confiere el RGPD, como el de prohibir el tratamiento.

IMPORTANTE

La siguiente lista indica, actualmente, lo que se considera un tratamiento con alto riesgo:

  • La elaboración de perfiles sobre cuya base se toman decisiones que produzcan efectos jurídicos sobre los interesados o les afecten de modo similar.
  • Tratamiento a gran escala de datos sensibles (definición)
  • Observación sistemática a gran escala de una zona de acceso público.

Para evaluar si un tratamiento se realiza a gran escala debemos valorar:

  • Número de interesados afectados
  • El volumen de datos y la variedad de la actividad de los datos tratados
  • La duración o permanencia de la actividad del tratamiento
  • La extensión geográfica de la actividad de tratamiento

Las autoridades de protección de datos están obligadas a confeccionar listados adicionales que requieran una EIPD. También elaboraran listas de tratamientos en los que no requiera una EIPD.

La elaboración de estos listados no excluyentes que los responsables realicen una análisis de riesgo y si el tratamiento puede suponer un alto riesgo para los derechos y libertades de los usuario, realizará el Responsable una EIPD, aunque el tratamiento no esté incluido en el listado.

Se podrá realizar una única EIPD para varios tratamientos similares que supongan altos riesgos similares.

Podría ser necesario realizar una nueva EIPD si cambian las condiciones del tratamiento o cuando cambien los riesgos asociadas al mismo.

Medidas de responsabilidad activa

Medidas de responsabilidad activa

Estas medidas se encuentran recogidas en el RGPD y que serán de obligada aplicación para los responsables y algunos encargados para demostrar su cumplimiento de la normativa y que estén en situación de justificarlo.

MEDIDAS DE SEGURIDAD

Los responsables y encargados dispondrán de establecer las medidas técnicas y organizativas que permitan garantizar un nivel de seguridad adecuado en función a los riesgos detectados en el análisis previo (Análisis de riesgo).

Las medidas técnicas y organizativas deberán determinarse atendiendo a:

  • Coste de la técnica.
  • Coste de la aplicación.
  • La naturaleza, el alcance, el contexto y los fines del tratamiento.
  • Los riesgos para los derechos y libertades.

Las medidas de seguridad establecidas en el Reglamento de desarrollo de la LOPD no serán válidas por defecto tras la aplicación del RGPD.

Siempre que los resultados del análisis de riesgo previo indique que es adecuado se podrán seguir aplicando las mismas medidas que establece el Reglamento de la LOPD. En ocasiones se podrán complementar con medidas añadidas o, en un caso dejar de utilizar algunas medidas.

ANÁLISIS DE RIESGO

El adoptar las medidas de responsabilidad  activa que nos propone el RGPD, tendrá que ver con lo que pueda suponer los tratamientos de datos de la entidad con los riesgos para los derechos y libertades de los interesados.

Existen dos formas de gestionar el riesgo:

  • Cuando en ciertas ocasiones se estime que las medidas de seguridad tan solo se aplicaran cuando el tratamiento suponga un alto riesgo para los derechos y libertades de los afectados. Esto se valorará realizando evaluaciones de impacto sobre protección de datos.
  • En otras ocasiones habrá que adaptar las medidas en función al nivel y tipo de riesgo que lleve aparejado el tratamiento, como puede ser la aplicación de las medidas de protección de datos desde diseño o con las medidas de seguridad.

OBLIGACIÓN

La totalidad de responsables deberán realizar una valoración del riesgo de los tratamientos que hagan para poder evaluar las medidas que deben adoptar y cómo aplicarlas de forma óptima.

El tipo  de análisis irá en función de:

  • Los tipos de tratamientos
  • La naturaleza de los datos
  • El número de interesados afectados
  • Cantidad y variedad de tratamientos realizados por una misma entidad.

Las grandes organizaciones tendrán que utilizar alguna de las metodologías existentes de análisis de riesgos. Las organizaciones más pequeñas y que dispongan tratamientos poco complejos tendrán que realizar un análisis orientado como una reflexión, mínimamente documentada sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados. La reflexión dará respuesta a unas cuestiones detalladas más abajo, y a mayor número de respuestas afirmativas mayor es el riesgo que derivará del tratamiento. Si por el contrario hay un mayor número de repuestas negativas se puede entender que la entidad no realiza tratamientos que produzcan un elevado nivel de riesgo y no será necesario adoptar las medidas previstas en estos casos en el RGPD.

  • ¿Se realizan tratamientos de datos sensibles?
  • ¿Se tratan datos de gran cantidad de personas?
  • ¿Se utiliza el tratamiento para la elaboración de perfiles?
  • ¿Se cruzan los datos de los interesados con otros disponibles en otras fuentes?
  • ¿Se evalúa utilizar los datos obtenidos para una finalidad, para otro tipo de finalidades?
  • ¿Se tratan grandes cantidades de datos, incluyendo técnicas de análisis masivo del tipo Big Data?
  • ¿Se van a utilizar tecnologías altamente invasivas para la privacidad, como la geolocalización, videovigilancia a gran escala o ciertas aplicaciones del internet de las cosas?

REGISTRO DE ACTIVIDADES DE TRATAMIENTO

OBLIGACIÓN

Los responsables y encargados deben cumplir con nuevas obligaciones de documentación como es mantener un registro de operaciones de tratamiento. Dicho registro debe contener la información establecida en el art. 30 del RGPD y debe contener datos como:

  • Nombre y datos de contacto del Responsable  o corresponsable, y del Delegado de Protección de Datos, si lo hay.
  • Finalidad del tratamiento.
  • Descripción de categorías de interesados y categorías de datos tratados.
  • Transferencias internacionales de datos.
  • Cuando sea posible, plazos previstos para la supresión de los datos.
  • Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

Se encuentran exentas de esta obligación las organizaciones que empleen a menos de 250 trabajadores:

  • a no ser que el tratamiento realizado entrañe un riesgo para los derechos y las libertades de los interesados,
  • no sea el tratamiento ocasional,
  • o incluya categorías especiales de datos o datos relativos a condenas o infracciones penales.

RECOMENDACIÓN

La mejor forma de cumplir con esta obligación es partiendo de la base de los ficheros que los responsables actualmente tienen notificados en el Registro General de Protección de Datos, especificando la totalidad  de operaciones  que se realizan sobre cada conjunto estructurado de datos.

También se puede organizar el registro alrededor de operaciones de tratamiento concretas vinculadas a una finalidad genérica común, como puede ser la gestión de clientes, gestión contable o gestión de los recursos humanos o cualquier otro criterio diferente.

PROTECCIÓN DE DATOS DESDE DISEÑO Y POR DEFECTO

El Responsable tendrá que aplicar las  medidas  con anterioridad al inicio de los tratamientos y también mientras se estén desarrollando.

Este enfoque es el que promueve el RGPD, de responsabilidad proactiva. Se tiene que pensar en el tratamiento de datos personales desde diseño del tratamiento, producto o servicio.

OBLIGACIONES

Desde el primer momento tendrán los responsables que adoptar las medidas técnicas y organizativas para añadir en los tratamientos garantías que permitan cumplir con lo establecido en el RGPD.

La adquisición por parte de los responsables de medidas que permitan garantizar que sólo se van a tratar los datos necesarios relativos a la cantidad de datos tratados, la extensión del tratamiento, los tiempos de conservación de los datos y la accesibilidad a los mismos.

NOTIFICACIÓN DE BRECHAS DE SEGURIDAD DE LOS DATOS

El RGPD define las brechas o violaciones de seguridad (quiebras de seguridad), como todo incidente que ocasione la “destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.

Algunos ejemplos pueden ser la pérdida de una tableta o Smart Phone, el acceso no autorizado a las bases de datos de la empresa por personal interno o ajeno a la entidad o el borrado  de registros constituyen este tipo de “brechas de seguridad” y deben afrontarse como dicta el RGPD.

OBLIGACIONES

En el momento que se produzca la brecha de seguridad de los datos, el responsable debe notificarla a la autoridad de control a no ser que no suponga un riesgo para los derechos y libertados de los afectados.

Esta notificación a la autoridad de control debe realizarse sin dilación indebida, es decir la tardanza sin excusa, y a ser posible en las siguientes 72 horas desde que el responsable ha tenido constancia de la misma.

La notificación debe incluir como mínimo:

  • La naturaleza de la brecha de seguridad
  • Categorías de datos y de interesados afectados
  • Las medidas que adoptará el responsable para solventar la quiebra
  • Si procede, los responsable recomendarán las medidas orientadas a disminuir los posibles efectos negativos sobre interesados

Los responsables deben documentar TODAS las quiebras de seguridad. Si la quiebra de seguridad supone un alto riesgo para los derechos y libertades de los interesados, el responsable aparte de realizar la comunicación a la autoridad de control deberá notificar a los interesados la quiebra de seguridad.

El objetivo de esta notificación es para que los afectados puedan tomar medidas para protegerse de sus consecuencias. El RGPD obliga a que se realice sin dilación indebida, sin hacer referencia ni al momento que se tenga constancia de ella, ni tampoco a efectuar la notificación dentro del plazo de 72 horas, todo esto para la rápida actuación del afectado y tome medidas las oportunas.

A TENER EN CUENTA

La valoración del riesgo de la quiebra de seguridad es diferente del análisis de riesgos previo a todo tratamiento. Trata de aclarar hasta qué punto el incidente, por sus características, tipo de datos o el tipo de consecuencias que tendrá para los afectados puede causar daño a sus derechos y libertades.

Los daños producidos pueden ser materiales o inmateriales pudiendo ir desde la consecuencia producida al afectado por una usurpación de identidad, pasando por perjuicios económicos o vulneración de su derecho al honor por exponer sus datos confidenciales.

La confirmación de que se ha producido una brecha de seguridad se da cuando se tiene la certeza de que ha ocurrido y se tiene conocimiento de su naturaleza y alcance.

La sola contratación a sospecha de que se ha producido la brecha sin conocer las circunstancias no debería dar lugar a la notificación, de momento, ya que no sería posible evaluar el riesgo que pudiera existir para los derechos y las libertades de los interesados.

En las ocasiones de que la quiebra pudiera tener gran impacto por sus características, es recomendable poner en conocimiento de la autoridad de control el hecho en el momento de tener evidencias. Más tarde se puede completar la comunicación por una notificación formal más completa dentro de los plazos establecidos.

Si se da el caso de que no es posible realizar la notificación dentro de las 72 horas, por la dificultad en valorar el alcance, se podrá notificar con posterioridad explicando los motivos del retraso.

También se podrá informar de forma escalonada si no es posible hacerlo en el momento de la notificación.

El denominado “criterio de alto riesgo” comprende a aquel en que la brecha de seguridad ocasiones daños de entidad a los interesados, como por ejemplo la revelación de información confidencial, difusión masiva de datos sensibles o que se produzcan perjuicios económicos a los interesados.

La notificación a los interesados no será necesaria cuando:

  • El responsable aplique medidas técnicas y organizativas con anterioridad a la brecha de seguridad, concretamente  las medidas que hagan ininteligibles los datos a terceros como el cifrado.
  • Si el responsable ha tomado, con posterioridad a la brecha, medidas técnicas que garanticen la imposibilidad de que el alto riesgo se materialice.
  • Si la notificación supone un esfuerzo desproporcionado, se tomaran medidas alternativas como puede ser una comunicación pública.

EVALUACIONES DE IMPACTO SOBRE LA PROTECCIÓN DE DATOS

LA OBLIGACIÓN

La diferencia con la actual LOPD es que el RGPD no establece un listado de medidas de seguridad que tengan que aplicarse en función del tipo de datos a tratar, sino que establece que los Responsable y encargados aplicaran las medidas técnicas y organizativas adecuadas al riesgo que  comporte el tratamiento. Esto va a suponer realizar una Evaluación de los riesgos relacionados a cada tratamiento y establecer las medidas de seguridad a implementar.

Los responsables del tratamiento estarán obligados a realizar una Evaluación de Impacto sobre Protección de Datos (EIPD), con carácter previo a la puesta en marcha de los tratamientos que tengan un posible alto riesgo para los derechos y libertades de los interesados.

Cuando el análisis de riesgo se realice sobre tratamientos comenzados con anterioridad a la entrada en vigor del RGPD, los responsables deberán realizar una EIPD sobre los mismos para poder adoptar los medios adecuados  a lo establecido en el RGPD.

Si al realizar una EIPD se identifica un tratamiento de alto riesgo y según el responsable no se puede reducir por medios razonables en términos de tecnología disponible y costes de aplicación, el responsable consultará con la autoridad de control. Adjuntará la documentación que prevé el RGPD, incluyendo la EIPD. La autoridad de control emitirá recomendaciones o ejercerá los poderes que le confiere el RGPD, como el de prohibir el tratamiento.

IMPORTANTE

La siguiente lista indica, actualmente, lo se considera un tratamiento con alto riesgo:

  • La elaboración de perfiles sobre cuya base se toman decisiones que produzcan efectos jurídicos sobre los interesados o les afecten de modo similar.
  • Tratamiento a gran escala de datos sensibles (definición)
  • Observación sistemática a gran escala de una zona de acceso público.

Para evaluar si un tratamiento se realiza a gran escala debemos valorar:

  • Número de interesados afectados
  • El volumen de datos y la variedad de la actividad de los datos tratados
  • La duración o permanencia de la actividad del tratamiento
  • La extensión geográfica de la actividad de tratamiento

Las autoridades de protección de datos están obligadas a confeccionar listados adicionales que requieran una EIPD. También elaboraran listas de tratamientos en los que no requiera una EIPD.

La elaboración de estos listados no excluyentes que los responsables realicen una análisis de riesgo y si el tratamiento puede suponer un alto riesgo para los derechos y libertades de los usuario, realizará el Responsable una EIPD, aunque el tratamiento no esté incluido en el listado.

Se podrá realizar una única EIPD para varios tratamientos similares que supongan altos riesgos similares.

Podría ser necesario realizar una nueva EIPD si cambian las condiciones del tratamiento o cuando cambien los riesgos asociadas al mismo.

DELEGADO DE PROTECCIÓN DE DATOS

LA OBLIGACIÓN

El RGPD establece la figura del Delegado de Protección de Datos (DPD) y va a ser obligatorio en:

  • Entidades públicas, excepto juzgados y tribunales.
  • Cuando el tratamiento tenga por objeto categorías especiales de datos personales o relativos a condenas o infracciones penales.
  • Responsable y encargados que tengan como actividad principal las operaciones de tratamiento que requieran una observación periódica y sistemática de usuarios realizada a gran escala.
  • Responsables o encargados que tengan como actividad principal el tratamiento de datos sensibles a gran escala.

El anteproyecto de la LOPD contempla en su Capítulo III art.35, consideran incluidas en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 en todo caso, las siguientes entidades:

“a) Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.

b) Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.

c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones.

d) Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos.

e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.

f) Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.

g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.

h) Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.

i) Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.

j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.

k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.

n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.

ñ) Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.”

El DPD debe tener conocimiento de  la legislación y la práctica de protección de datos, debiendo asesorar al responsable o al encargado en lo relativo a la normativa de protección de datos. Debe contar con conocimientos legales de la normativa, en materia de tecnología aplicada al tratamiento de datos y en el ámbito de la actividad de la organización en la que el DPD realiza su labor.

El nombramiento del DPD y los datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión.

El cargo del DPD en las organizaciones tienen que contar con:

  • Total autonomía e independencia en el ejercicio de sus funciones
  • Canal directo de comunicación con el nivel máximo de dirección
  • La obligación por parte de responsables y encargados de dotar de recursos al DPD para que pueda realizar su actividad

IMPORTANTE

Se permite nombrar a un solo DPD para un grupo empresarial, y debe estar accesible a todos los establecimientos del grupo, accesibilidad física para el propio personal y que el interesado pueda contactar con el DPD en su propia lengua, aun cuando el DPD esté ubicado en otro estado miembro.

Se permite que el DPD mantenga una relación laboral o mediante contrato de servicios con los responsables y encargados. Es decir que permite contratar el servicio de DPD con personas físicas o jurídicas ajenas a la organización.

Podrá desarrollar sus funciones a tiempo parcial o completo, evitando que existan conflictos de intereses.

L as funciones del DPD vienen establecidas por el Art. 39 del RGPD, que como mínimo serán:

  • Informar y asesorar al responsable y al encargado de las obligaciones que les incumben.
  • Supervisar lo dispuesto en el RGPD.
  • Ofrecer asesoramiento acerca de la evaluación de impacto de protección de datos.
  • Cooperación con la autoridad de control.
  • Actuar como punto de contacto de la autoridad de control sobre cuestiones que afecten al tratamiento.
Relaciones Responsable – Encargado

Relaciones Responsable – Encargado

1. Obligaciones específicas para los Encargados

El RGPD dispone obligaciones establecidas expresamente dirigidas a los encargados. La responsabilidad última sobre el tratamiento la va a tener el Responsable que determina la existencia del tratamiento y su finalidad.

Los Encargados van a tener obligaciones propias que dicta el RGPD, que no tienen que ver con el contrato de prestación de servicio, y que podrán ser supervisadas por las autoridades de control, como por ejemplo:

  • Deben mantener un registro de actividades de tratamiento
  • Deben determinar las medidas de seguridad aplicables a los tratamientos que realicen
  • Nombrar un Delegado de protección de datos(DPD) en los casos previstos

Los Encargados se podrán adherir a códigos de conducta o certificación según lo previsto en el RGPD.

2. Elección del Encargado de tratamiento

Según el principio de responsabilidad activa indicado en el RGPD, el Responsable al elegir a un encargado debe poder garantizar y demostrar que el encargado está en condiciones de realizar el tratamiento conforme al RGPD.

Los Responsables habrán de elegir a Encargados que ofrezcan garantías suficientes para la aplicación de las medidas técnicas y organizativas sean conforme a lo estipulado en el RGPD. La supervisión también se amplía a la subcontratación de operaciones de tratamiento.

Para demostrar que los encargados/subencargados ofrecen las garantías necesarias se podrán adherir a códigos de conducta o a certificaciones según lo previsto en el RGPD.

3. Contenido del contrato de encargo

La relación entre el Responsable y el Encargado deberán formalizarse en un contrato o en un acto jurídico que los vincule.

Se regula un contenido mínimo de los contratos de encargo:

  • Objeto, duración, naturaleza y finalidad del tratamiento.
  • La naturaleza del tratamiento
  • Tipo de datos personales y categorías de interesados
  • Obligación del Encargado de tratar los datos personales sólo siguiendo las instrucciones documentadas del Responsable.
  • La previsión de que las personas que van a realizar el tratamiento se comprometan a mantener la confidencialidad.
  • Asistencia al Responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados.
  • La obligación de devolución o eliminación de los datos al finalizar en encargo.
  • Obligación de permitir que el Responsable verifique que el Encargado cumple con lo establecido en el RGPD.
  • Condiciones para que el Responsable autorice previa, específica o generalmente a las subcontrataciones.

Los contratos de encargo formalizados con anterioridad  a la aplicación del RGPD en mayo de 2018 deben ser modificados y adaptados para que cumplan con la normativa. NO serán válidas las remisiones genéricas del artículo del RGPD que las regula.

El RGPD establece unas obligaciones específicas de cumplimiento de los Encargados en determinadas materias, que no se ajustan a lo establecido en el contrato de encargo que los vincula. Algunos ejemplos serían:

  • Los encargados deben tener un registro de actividades de tratamiento.
  • Deben los encargados de establecer las medidas de seguridad aplicables a los tratamientos que realizan.
  • Deben designar un DPD en los casos previsto en el RGPD.

El RGPD permitirá que los encargados se adhieran a códigos de conducta o certificarse dentro de los esquemas  de certificación que el RGPD dispone. Con esto encargados o subencargados podrán demostrar que ofrecen garantías de cumplimiento suficientes.

Derechos de los interesados

Derechos de los interesados

El Reglamento General mantiene los derechos ARCO de la LOPD  y se fortalece con otros nuevos. También se establecen los procedimientos a seguir para atender los derechos de los interesados.

Derecho de Acceso

Se reconoce el derecho a obtener una copia de los datos personales objeto de tratamiento.

  • Se podrá facilitar el acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales.

Derecho de Supresión (Derecho al Olvido)

Es la consecuencia de la aplicación del derecho al borrado de los datos personales. Es un derecho que se encuentra vinculado al derecho de supresión, el derecho a la limitación del tratamiento y el derecho a la portabilidad.

“Es una manifestación de los derechos de cancelación u oposición en el entorno Online.”(Jurisprudencia del Tribunal superior de la Unión Europea)

Se puede obtener el derecho al olvido si:

  • Los datos ya no son necesarios por la finalidad en la que fueron recogidos.
  • Si se produce una revocación del consentimiento otorgado.
  • El interesado se opone al tratamiento.
  • Los datos se han tratado de forma ilícita.
  • Los datos se tienen que suprimir por imperativo legal.
  • La obtención de los datos se ha tramitado mediante una oferta de servicios a de la sociedad de la información dirigido a menores.

Los responsables que hayan publicado los datos personales son los que deberán adoptar las medidas técnicas razonables para informar a otros responsables que traten los datos.

Si los Responsables aplican actualmente ésta jurisprudencia no tienen que modificar sus prácticas.

Existe la previsión de algunas excepciones en el ejercicio de este derecho:

  • El ejercicio del derecho de la libertad de expresión e información.
  • El cumplimiento de una obligación legal.
  • Cuando exista el objeto de uso para fines de archivo en interés público, de investigación científica o histórica o fines estadísticos.
  • La formulación, el ejercicio o la defensa de reclamaciones.
  • Derecho a la limitación del tratamiento.

Derecho de Limitación del Tratamiento

Si se realiza la solicitud del usuario no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso hubieran correspondido.

Se puede solicitarla limitación cuando:

  • Si ya se ha ejercido los derechos de rectificación u oposición y el responsable se encuentra en proceso de responder su solicitud.
  • El tratamiento es ilícito y hay que borrar los datos, pero el interesado se opone.
  • Los datos no son necesarios y han de borrarse pero el interesado los necesita para la formulación, el ejercicio o la defensa de reclamaciones.

En el tiempo que dura la limitación solo se pueden tratar los datos más allá de su conservación:

  • Con el consentimiento del interesado.
  • Para la formulación, el ejercicio o la defensa de reclamaciones.
  • Para proteger los derechos de otra persona física o jurídica.
  • Por razones de interés público importante de la UE o estado miembro.

IMPORTANTE

  • La limitación de tratamiento es un derecho de los interesados y no se debe confundir con el bloqueo de datos que actualmente existe en la actual normativa española.
  • Dispone de los mismos plazos y procedimientos que el resto de derechos previsto en el RGPD.
  • Se impide la práctica extendida que consiste en realizar un borrado de los datos cuando se ejercita el derecho de acceso, ya que impediría éste. Esto no supone una desaparición de la figura del bloqueo de datos.

Derecho de Portabilidad

Este derecho constituye una forma avanzada del derecho de acceso para el cual la copia que se le da al interesado debe tener un formato estructurado, de uso común y lectura mecánica, y trasmitirlos a otro responsable.

Sólo se podrá ejercer:

  • Cuando el tratamiento sea automatizado.
  • Cuando el tratamiento se base en el consentimiento o en un contrato.
  • Si el interesado lo solicita al responsable respecto a datos que él ha facilitado y que le conciernen, incluidos los que deriven de la propia actividad del interesado.

El derecho a la portabilidad implica que los datos del interesado se trasmiten de un responsable a otro, y no es necesario que le sean previamente transmitidos al interesado, siempre que sea técnicamente posible.

  • NO se aplican a los datos que el interesado haya facilitado de terceras personas.
  • NO se aplica si el interesado ha ejercido su derecho sobre datos que le incumban pero que hayan sido proporcionados por terceros al Responsable.

El procedimiento para el ejercicio

  • Los Responsables del tratamiento están obligados a facilitar a los interesados el ejercicio de sus derechos amparados por la normativa. La forma de hacerlo posible debe ser visible, accesible y sencilla.
    • Importante es posibilitar la presentación de solicitudes por medios electrónicos si el tratamiento se realiza por este medio.
  • El ejercicio de los derechos de los interesados será gratuito excepto:
    • Si las solicitudes son infundadas o excesivas, por repetitivas, el Responsable podrá cobrar un canon por los gastos de la gestión administrativa o negarse a actuar. Este precio debe ser el coste real de la gestión administrativa.

Las obligaciones

  • Se deben poner mecanismos por los que el interesado pueda acreditar el ejercicio de derechos por medios electrónicos.
  • La obligación del Responsable de demostrar el carácter infundado o excesivo de las solicitudes que impliquen un coste al interesado.
  • El Responsable deberá, en el plazo de 1 mes, informar al interesado sobre las actuaciones derivadas de su solicitud. Este plazo se podrá ampliar a 2 meses más  si la solicitud es especialmente compleja, pero siempre notificando la ampliación dentro del primer mes.
  • En el caso de que el Responsable no atienda una solicitud hay que informar al afectado, argumentando la negativa, dentro del plazo de 1 mes desde la presentación de la solicitud.
  • El Responsable deberá tomar medidas razonables de verificación de la identidad del ejerciente de derechos.
  • Si un Responsable trata gran cantidad de información sobre un interesado, podrá pedir que especifique a qué información se requiere en su solicitud.
  • El Responsable podrá apoyarse en los Encargados de tratamiento para que gestione y atiendan los ejercicios de derechos de los interesados, pudiendo registrar esta colaboración en el contrato de encargo.