¿Bye bye Responsable de Seguridad, hello DPO?

– Información al lector – Tiempo de lectura: 6 minutos

El Reglamento General de Protección de Datos que entró en vigor el 25 de mayo de 2016,  cuyo periodo de transisión para la adaptación para lo dispuesto en él finaliza el 25 de mayo de 2018, si bien deroga expresamente la Directiva 95/46/CE en la que se fundamenta nuestra LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) y nuestro RLOPD (Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999) tendrá que convivir con ambas normas hasta que se derogen o modifiquen por nuestro legislador nacional, haciendo inaplicable cualquier precepto que contradiga lo dispuesto en él, requiriendo hasta ese momento una constante y laboriosa interpretación de la normativa nacional y la normativa europera (directamente aplicable y obligatoria en todos sus elementos al tratarse de un Reglamento y no una Directiva) para decidir qué medidas figuras o procedimientos son aplicables y de qué forma.

Una de las figuras características de nuestra normativa es el responsable de seguridad designado para coordinar y controlar las medidas de seguridad en los ficheros que contengan datos que requieran un nivel de protección de nivel medio o nivel alto. ¿Es compatible esta figura con la nueva figura del delegado de protección de datos? ¿Lo sustituye? ¿Asume sus funciones y obligaciones? ¿Convivirá con él o será causa de que haga las maletas?

Sigue leyendo

Notificaciones de las violaciones de seguridad de los datos personales en el Reglamento General de Protección de Datos

Aplicabilidad directa en España del Reglamento UE 2016/679

El Reglamento de la Unión Europea 2016/679 del Parlamento y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos, el Reglamento General de Protección de Datos, deroga la Directiva 95/46/CE de la que trae causa nuestra actual Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (la famosa LOPD) convirtiendo en inaplicable cualquier precepto de cualquier norma nacional que lo contradiga (tanto de la LOPD como del RD 1720/2007 de desarrollo de la misma) al ser, conforme al artículo 288 del Tratado de Funcionamiento de la Unión Europea, norma de alcance general, obligatoria en todos sus elementos, directamente aplicable en cada Estado miembro, incluyéndose directamente en el orden jurídico interno de los Estados miembros y no necesitando estar integrado en el derecho interno mediante un texto nacional para su aplicación.

Este Reglamentó entró en vigor el 25 de mayo de 2016 aunque se aplicación se ha demorado hasta el 25 de mayo de 2018.

Son muchas las NOVEDADES que se introducen en materia de privacidad y protección de datos de carácter personal, iremos analizando todas ellas.

Hoy trataremos sobre el régimen legal que se establece para las notificaciones de las violaciones de seguridad de los datos personales.

bombero

Sigue leyendo

Pildora informativa sobre el nuevo Reglamento Europeo de Protección de Datos

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, entró en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018.

Bandera_Union-Europea

Si bien hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables, la propia Agencia Española de Protección de Datos aconseja que puede ser útil para las organizaciones que tratan datos empezar ya a valorar la implantación de algunas de las medidas previstas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD.

Sigue leyendo

Do you know the privacy of WhatsApp? ¿Conoces la Política de Privacidad de Whatsapp? (I)

¿Has leido la política de privacidad de WhatsApp? Es bueno saber idiomas, enhorabuena, pues a pesar de solicitar que se muestre el texto en español, el texto permanence en inglés …

Whatsapp_PoliticaPrivacidad_Ingles

Bueno has utilizado esta aplicación de chat para dispositivos móviles, se supone que conoces los términos en los que se tratan tus datos y el material que pones en ella (fotos, normbres, textos, etc …) y también cómo trata los datos de los contactos de tu libreta de direcciones … Ah, quizás ignorabas que WhatsApp captura continuamente los datos y los números de teléfono de tu libreta de direcciones …

Sigue leyendo

Modelo Documento de Seguridad – AEPD

La Agencia de Protección de Datos propociona una Guía para el responsable del fichero en la que ofrece un modelo de Documento de Seguridad.

Aquí tienes la versión editable que proporciona

https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/herramientas_ayuda/common/modelo_doc_seguridad.doc

Y aquí le puedes echar un vistazo en formato PDF

ModeloDocumentoSeguridad_AEPD

 

La LOPD para Comunidades de Propietarios es fácil …

… si cuentan con un Administrador de Fincas, y saben cómo hacerlo.

Edificio

Una comunidad de propietarios trata datos de sus copropietarios (entre otros datos: nombre y apellidos, DNI, números de cuentas bancarias o propiedades) conforme la Ley 15/1999, de Protección de datos de carácter personal, es un responsable del fichero o de su tratamiento:

Artículo 3 d) “Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.”

Pero la mayoría de comunidades cuentan con la figura del administrador de fincas Sigue leyendo

Aprende jugando: concurso propuesto por la AEPD para aprender privacidad

La privacidad y la protección de datos es un tema que, hoy día, hay que darle gran importancia debido a la  influencia que tienen al usar las nuevas tecnologías (smarthphones, tablets…) y sobre todo en las Redes Sociales (Facebook, Twitter, Whatsapp, Instagram, Tuenti…).

jovenes.shst_

Un gran porcentaje de la juventud utiliza las nuevas tecnólogias así como las Redes Sociales.

En cuanto al uso de las Redes Sociales, así como al uso de las nuevas tecnlogías, gran parte de sus usuarios son jóvenes, Sigue leyendo

El usuario empleado por cuenta ajena y la LOPD

Consecuencias por el incumplimiento sus obligaciones en materia de protección de datos.

Cuando el usuario que trata los datos es un empleado del responsable del fichero el incumplimiento de las obligaciones que impone la normativa de protección de datos (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su reglamento de desarrollo, Real Decreto 1720/2007, de 21 de diciembre) puede ser considerado un quebranto de la buena fe contractual que puede ocasionar según su trascendencia (gravedad y consecuencias) una falta que queda sometida al poder disciplinario del empresario sancionable según su gravedad incluso con el despido, conforme a lo establecido en los artículos 58 y 54 del Estatuto de los Trabajadores (Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores).

El artículo 58 del Estatuto de los Trabajadores establece que Los trabajadores podrán ser sancionados por la dirección de las empresas en virtud de incumplimientos laborales, de acuerdo con la graduación de faltas y sanciones que se establezcan en las disposiciones legales o en el convenio colectivo que sea aplicable.”  y el artículo 54 determina que “El contrato de trabajo podrá extinguirse por decisión del empresario, mediante despido basado en un incumplimiento grave y culpable del trabajador.”

Así, si un usuario puede pone en riesgo la disponibilidad de la información, por ejemplo al no realizar las copias de seguridad que se le indicó que realizara, puede ser objeto de estos tipos de sanciones de carácter laboral.

De igual forma e independientemente de las consecuencias en el ámbito laboral que puedan desencadenarse y en el supuesto de mediar intencionalidad en su realización puede conllevar en su caso la atribución de responsabilidad civil por los daños y perjuicios causados, conforme al artículo 1.101 del Código Civil: “Quedan sujetos a la indemnización de los daños y perjuicios causados los que en el cumplimiento de sus obligaciones incurrieren en dolo, negligencia o morosidad, y los que de cualquier modo contravinieren al tenor de aquéllas.” circunscrito en ámbito de la responsabilidad contractual y de forma residual y subsidiaria el relativo a la responsabilidad extracontractual tal como determina el artículo 1.902 del Código Civil: “El que por acción u omisión causa daño a otro, interviniendo culpa o negligencia, está obligado a reparar el daño causado.”

Siguiendo con el ejemplo anterior, si la pérdida de disponibilidad de la información ocasiona daños y perjuicios (por ejemplo, con ocasión de reclamaciones de afectados por el tratamiento que no pueden ser atendidas por falta o pérdida de datos) el empleado podría responder de ello si ocasiona una responsablidad al responsable del fichero y ello deriva de un incumplimiento de una obligación que se impuso al usuario (por ejemplo, imaginemos que el usuario borra por error información de clientes y no ha realizado correctamente las copias de seguridad que se le había encomendado).

Por último, si el incumplimiento de las obligaciones del trabajador fuera de carácter doloso podrían ocasionar incluso la intervención del Derecho Penal, así por ejemplo, la cesión o comunicación a terceros de datos de carácter personal de clientes del responsable del fichero sin consentimiento de éste, es una conducta que puede ser constitutiva de una revelación de secreto tipificada en los artículos 197 y siguientes del Código Penal, siendo en todo caso de una vulneración del deber de secreto establecida en el artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Por ello, además de estar claramente definidas y documentadas en el documento de seguridad, tal como indica el artículo 89 en su apartado 1, del Reglamento de desarrollo de la LOPD, por los motivos expuestos es tan importante que todos los usuarios que traten datos de carácter personal tengan la información y la formación adecuada, porque no hay que olvidar que es una obligación impuesta por el mismo artículo 89 en su apartado 2: “El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.”

Ponemos de forma gratuita en nuestra tienda una guía para los usuarios donde se exponen los conceptos básicos de la normativa legal y reglamentaria de protección de datos, un resumen explicativo de las medidas de seguridad que debe aplicar en su puesto de trabajo y lo más destacable: se incorpora un DECÁLOGO DEL USUARIO con las diez normas básicas y elementales de lo que se debe y no se debe hacer para no incurrir en incumplimientos graves contra la normativa de protección de datos de carácter personal.

 

Guía para usuarios