jueves, 30 de junio de 2016

El Delegado de protección de datos

En el nuevo reglamento de protección de datos aparece la obligación de contratar un Delegado de Protección de Datos (DPO) y por tanto, se abre un campo profesional muy interesante para todos los especialistas en protección de datos.

¿Qué es el Delegado de Protección de Datos?

El Delegado de Protección de Datos tiene las siguientes funciones:


  • Informar y asesorar a los responsables y encargados del tratamiento de datos personales y a sus empleados de las obligaciones que tienen, derivadas tanto de la legislación europea como de la española.
  • Supervisar el cumplimiento de dicha legislación y de la política de protección de datos de una Administración Pública, empresa o entidad privada: asignación de responsabilidades, concienciación y formación del personal, auditorías, etc.
  • Ofrecer el asesoramiento que se le solicite para hacer la evaluación de impacto de un tratamiento de datos personales, cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas y supervisar luego su aplicación.
  • Actuar como punto de contacto de las autoridades de control para cualquier consulta sobre el tratamiento de datos personales; especialmente, la consulta previa obligatoria en los casos en los que el tratamiento entrañe un alto riesgo.

Este DPO deberá ser nombrado en base a sus “cualidades profesionales y, en particular, su conocimiento” en la materia de la protección de datos, que le capacite para cumplir las tareas que le atribuye el Reglamento. Esas competencias o capacidades acreditadas se obtendrán a través de estudios reglados y oficiales. Queda pendiente que cada Estado miembro legisle sobre los estudios que facultan para ejercer como DPO.

Con la incorporación del delegado de protección de datos, se pretende dar una mayor fuerza a la figura del Responsable de Seguridad, que es la persona que actualmente se debe asignar en las organizaciones para velar por el correcto cumplimiento de la LOPD.

Están obligados a nombrar un Delegado de Protección de Datos:


  • Las Administraciones Públicas, excepto Tribunales.
  • Empresas y otras entidades cuya actividad principal consista en el tratamiento masivo de datos personales que, por su naturaleza, alcance o fines, requieran una observación habitual, sistemática y a gran escala de sus titulares.
  • Empresas y otras entidades cuya actividad principal consista en el tratamiento a gran escala de categorías de datos personales especialmente protegidas y de datos relativos a condenas e infracciones penales.

En cambio, no están obligados a tener delegado de Protección de Datos, pero es conveniente, aquellas empresas (normalmente PYMEs) y otras entidades cuya actividad principal NO consista en el tratamiento masivo de datos personales que estén especialmente protegidos o que requieran una observación a gran escala de sus titulares.

jueves, 23 de junio de 2016

Otras novedades

El Reglamento UE de protección de datos crea una Autoridad de control única de protección de datos, el denominado Consejo Europeo de Protección de Datos. Este Consejo estará formado por los representantes de cada una de las 28 autoridades de control independientes y sustituirá al actual Comité del artículo 29.

Es importante destacar como novedad, que todo interesado tendrá derecho  a presentar una reclamación ante una autoridad de control única si considera que se vulneran sus derechos  o en caso de que la autoridad de control nacional no responda a una reclamación, rechace o desestime total o parcialmente una reclamación o no actúe cuando sea necesario para proteger los derechos del interesado. La investigación a raíz de una reclamación debe llevarse a cabo, bajo control judicial, si procede en el caso concreto.

Para garantizar la supervisión y ejecución coherentes de nuevo reglamento, las autoridades de control deben tener en todos los Estados miembros las mismas funciones y poderes efectivos, incluidos poderes de investigación, correctivos y sancionadores además de los poderes de autorización y consultivos.

Por cierto, los miembros de la autoridad de control deben establecerse por ley en cada Estado miembro y disponer, en particular, que dichos miembros han de ser nombrados, por un procedimiento transparente, por el Parlamento, el Gobierno o el jefe de Estado del Estado miembro. 

Posibilidad de interponer denuncias a través de asociaciones

He aquí otra gran novedad del nuevo reglamento de protección de datos que propone la posibilidad de que el interesado que considere vulnerados los derechos, pueda conferir mandato a una entidad, organización o asociación sin ánimo de lucro  para que presente en su nombre una reclamación ante la autoridad de control, ejerza el derecho a la tutela judicial en nombre de los interesados.

Posibilidad de exigir indemnizaciones

El nuevo reglamento de protección de datos contempla que el responsable o el encargado del tratamiento, deba indemnizar cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento en infracción del Reglamento.

Esta sí que es una novedad llamativa puesto que en España la normativa de protección de datos no preveía indemnización para los damnificados sino sólo sanción para los responsables. No sé si aumentarán las reclamaciones en este ámbito como consecuencia de esta posibilidad legal (aunque conociendo a mis compatriotas no me extrañaría).

Pero también señala que el responsable o el encargado deben quedar exentos de responsabilidad si se demuestra que en modo alguno son responsables de los daños y perjuicios.

Certificación de cumplimiento

Otra novedad que no se sabe cómo se ejecutará, consiste en la creación de organismos de certificación oficial en materia de protección de datos, algo que no existe en la actual LOPD y que permitiría acreditar el cumplimiento normativo.

El nuevo reglamento de protección de datos se propone el establecimiento de mecanismos de certificación y sellos y marcas de protección de datos, que permitan a los interesados evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios correspondientes.

Esta certificación aún está por determinar y esperemos que se eliminen determinadas prácticas que no ayudan ni al cliente ni a los verdaderos profesionales en materia de protección de datos.

jueves, 16 de junio de 2016

derechos ARCO

Otras novedades importantes introducidas por el Reglamento UE son:


  • Información sobre tiempo de conservación de datos


Desde ahora se exige al responsable del tratamiento la obligación de informar sobre el tiempo de conservación de datos, de forma que se debe garantizar que el tratamiento se limite a un plazo mínimo estricto de conservación de datos personales.

Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. 


  • Ejercicios de derecho más claros y accesibles

Aquí tampoco se producen grandes novedades en el nuevo reglamento de protección de datos.

Se especifica que los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento.

Al igual que la actual LOPD, deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus derechos y, en su caso, obtener de forma gratuita, en particular, el acceso a los datos personales y su rectificación o supresión, así como el ejercicio del derecho de oposición.

Atento si tienes una web, porque como responsable del tratamiento, también debes proporcionar medios para que las solicitudes se presenten por medios electrónicos, en particular cuando los datos personales se tratan por medios electrónicos.


  • Plazos para el ejercicio de derechos

Además, se amplía a un mes desde la recepción de la solicitud el plazo para ejercer los denominados derechos ARCO cuando en la LOPD, este plazo es de 10 días.

Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable deberá informar al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.

En los supuestos de solicitudes manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:


  1. Cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o
  2.  Negarse a actuar respecto de la solicitud.

El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud. 

miércoles, 8 de junio de 2016

transferencias internacionales de datos

Seguimos con el nuevo Reglamento UE sobre protección de datos y ahora nos centramos en:

Transferencias a terceros países

El nuevo reglamento de protección de datos también abarca la transferencia de datos personales a terceros países u organizaciones internacionales.
Si los datos personales se transfieren de la Unión Europea  a responsables, encargados u otros destinatarios en terceros países o a organizaciones internacionales, esto no debe menoscabar el nivel de protección de las personas físicas garantizado en la Unión Europea por el nuevo reglamento de protección de datos, ni siquiera en las transferencias ulteriores de datos personales desde el tercer país u organización internacional a responsables y encargados en el mismo u otro tercer país u organización internacional. Con este fin, se encomienda a la Comisión la evaluación del nivel de protección que ofrece un territorio o un sector de tratamiento en un tercer país.

Cuando la Comisión no haya adoptado una decisión de adecuación sobre un territorio o sector, la transferencia de datos personales se puede seguir realizando en casos especiales o cuando existan garantías apropiadas (cláusulas tipo de protección de datos, normas corporativas vinculantes, cláusulas contractuales).

Por tanto, en ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para el interesado.

Comunicación de brechas de seguridad a las autoridades y a los afectados

Esta es una de grandes novedades que introduce el nuevo reglamento de protección de datos.

Hasta ahora no era obligatorio informar a las autoridades cuando se producía una brecha, pero con la entrada en vigor del reglamento las empresas deben comunicar a las autoridades nacionales competentes lo antes posible cualquier violación de las reglas sobre protección de datos. Y, además, han de informar al interesado sin dilación indebida la violación de la seguridad de los datos personales en caso de que puede entrañar un alto riesgo para sus derechos y libertades, y permitirle tomar las precauciones necesarias. Es una consecuencia del principio de privacy by design establecido en la nueva normativa.

La comunicación debe describir la naturaleza de la violación de la seguridad de los datos personales y las recomendaciones para que la persona física afectada mitigue los potenciales efectos adversos resultantes de la violación.

miércoles, 1 de junio de 2016

dos nuevos derechos: olvido y portabilidad

El Reglamento UE introduce dos nuevos derechos:

Derecho al olvido

Era una de las novedades que presentaba el borrador del nuevo reglamento de protección de datos, ya reconocido por el Tribunal de Justicia de la UE, que permitirá bajo determinadas condiciones la supresión de datos personales e información.

Los interesados deben tener derecho a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo, si los interesados han retirado su consentimiento para el tratamiento o se oponen al tratamiento de datos personales que les conciernen.

Por tanto, cuando nos demos de baja en un servicio podremos solicitar la eliminación definitiva de nuestros datos personales, excepto que exista alguna otra normativa que lo impida, también podremos solicitar a una página de Internet que elimine totalmente los datos que aparecen en su web sobre nuestra persona. Supone el borrado de nuestra huella o rastro digital ya que el responsable del tratamiento que haya hecho públicos datos personales está obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos. Los medios de comunicación pueden estar exentos de esta obligación en determinadas circunstancias.

Para esto, el responsable debe tomar medidas razonables, teniendo en cuenta la tecnología y los medios a su disposición, incluidas las medidas técnicas, para informar de la solicitud del interesado a los responsables que estén tratando los datos personales. 

Derecho a la portabilidad de los datos

Cualquier persona tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado. Esto es muy práctico en el caso de cambio de compañías de servicio similares y nos ahorraría tener que facilitar todos nuestros datos personales nuevamente.


Como titulares, tendremos el derecho a que nuestros datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.