- Octubre de 2017 -
Jornadas formativas sobre la implementación del Reglamento General de Protección de Datos

La Autoridad de Control de Luxemburgo (CNPD) ha publicado en su página web todas las presentaciones utilizadas en las jornadas formativas que la semana pasada reunieron en el Gran Ducado a más de 500 especialistas en protección de datos.

A continuación le facilitamos los enlaces correspondientes a las distintas exposiciones:

  1. La implementación del nuevo Reglamento: ¿Cómo prepararse?
  2. El rol del futuro Delegado de Protección de Datos
  3. Nuevo derecho a la portabilidad de los datos
  4. El consentimiento "reforzado"
  5. Las nuevas disposiciones sobre la elaboración de perfiles
  6. Las violaciones de datos de carácter personal
  7. Las evaluaciones de impacto
  8. La supervisión de la Autoridad de Control
  9. Los Códigos de Conducta y Certificaciones
  10. Herramienta de comprobación de cumplimiento de la CNPD (similar a la herramienta “Facilita” de la Agencia Española).
El rol del DPD en el desarrollo de sistemas de información

La AEPD ha publicado en su blog la primera entrega de una serie de artículos dedicados al papel que el delegado de protección de datos ha de desempeñar cuando las empresas proyecten el desarrollo de nuevos sistemas de información.

En esta primera entrega, en la que se aborda la planificación de los sistemas de la organización, la AEPD recomienda que el DPD participe en la elaboración del Plan de Sistemas, asesorando e informando de las obligaciones que impone el RGPD en el tratamiento de datos personales. En este sentido, la propia organización debe promover esta participación para que el DPD se involucre desde las fases más tempranas en todas las cuestiones relativas a la protección de datos, ayudando a crear también una cultura de la protección de datos en la organización.

Según expone la AEPD en su blog, el DPD deberá asesorar a la organización sobre temas delicados como la transferencia internacional de datos, la auditoría de datos personales y el ejercicio de derechos por parte de los interesados o las evaluaciones de impacto.

Finalmente, el artículo señala que cuando el DPD haya sido nombrado a nivel interno precisará de recursos económicos, infraestructura e incluso personal durante todo el ciclo de vida de los nuevos sistemas.

Puede consultar la entrada del blog de la Agencia en este enlace.

El Grupo de Trabajo del Artículo 29 publica una Guía sobre la aplicación de sanciones por vulneración del RGPD

La Guía publicada por el Grupo de Trabajo europeo está dirigida a las Autoridades de Control de los Estados Miembros y tiene como objetivo desarrollar los principios que deben regir el ejercicio de la potestad sancionadora de las autoridades nacionales así como promover la cohesión de criterios entre las mismas.

Puede consultar la Guía íntegra en este enlace.

El TJUE se pronunciará sobre el alcance territorial del derecho al olvido

En una cuestión prejudicial remitida al TJUE, el Consejo de Estado francés plantea si Google debe desindexar una información sobre la que se pretende ejercer el derecho al olvido en todas las extensiones de su motor de búsqueda, o limitarla a determinados países.

Las tres cuestiones que plantea el órgano francés son, por este orden:

a) Si se debe llevar a cabo la desindexación en todas las versiones del motor de búsqueda, de modo que los enlaces cuestionados no aparezcan en la lista de resultados del buscador, con independencia del lugar donde se realice esa búsqueda e incluso si esta se realiza desde fuera del ámbito territorial de la Unión Europea.

b) Si la respuesta a la pregunta anterior es negativa, el Consejo de Estado pregunta si la desindexación debe aplicarse en toda la Unión Europea o sólo en el ámbito del Estado desde en el cual el ciudadano ha ejercido su derecho al olvido.

c) Finalmente, y también para el caso de que la respuesta a la primera cuestión fuese negativa, el Consejo de Estado pregunta si ese "geobloqueo" de los enlaces en cuestión debe aplicarse también en toda la Unión Europea.

Puede consular la Decisión del Consejo de Estado francés íntegra en este enlace.

Informe de la Comisión sobre el Escudo de Privacidad: Funciona pero debe mejorarse

La Comisión Europea ha publicado su primer informe anual sobre el funcionamiento del Escudo de Privacidad UE-EEUU, conocido como ‘Privacy Shield’.

En general, el informe muestra que el escudo de privacidad sigue asegurando un nivel de protección adecuado de los datos personales transferidos desde la UE a compañías participantes en EEUU y destaca el buen funcionamiento del procedimiento de certificación (con más de 2.400 compañías certificadas).

Asimismo, el informe propone una serie de medidas para asegurar que el Escudo de Privacidad siga funcionando correctamente. Destacamos las siguientes recomendaciones:

  • Un seguimiento más proactivo y regular por parte del Departamento de Comercio de EE.UU. del cumplimiento de las compañías con los requerimientos del acuerdo del Escudo de Privacidad. El Departamento de Comercio de EEUU también debería realizar periódicamente búsquedas de compañías que hagan declaraciones falsas sobre su participación en el Escudo de Privacidad.
  • Mejorar el conocimiento de los particulares de la UE sobre cómo pueden ejercer sus derechos en el marco del Escudo de Privacidad, sobre todo en cuanto a la manera de presentar reclamaciones.
  • Una cooperación más estrecha entre las autoridades responsables de la privacidad, es decir el Departamento de Comercio de EE.UU., la Comisión Federal de Comercio de EE.UU. y las autoridades europeas de protección de datos (DPAs), especialmente para elaborar orientaciones para las empresas y las instituciones.

Puede consultar el Informe completo en este enlace.

Informe sobre el procesamiento de datos personales en el contexto de C-ITS (Sistemas Cooperativos de Transporte Inteligente)

El Grupo de Trabajo del Artículo 29 ha publicado una Guía relativa al intercambio de datos entre vehículos y sistemas informáticos (navegación, seguridad vial, explotación comercial, diagnóstico y mantenimiento del vehículo, descarga de películas o música, etc) sin la intervención de un operador de red.

El Grupo de Trabajo estructura su Dictamen en cinco grandes ejes:

  1. Marco jurídico
  2. Datos personales
  3. Riesgos sobre la privacidad
  4. Legitimidad del tratamiento
  5. Seguridad

Puede consultar el Dictamen íntegro en este enlace.

El EDPS publica un informe relativo a la propuesta del Reglamento europeo sobre Privacidad Electrónica

El Supervisor Europeo de Protección de Datos (EDPS por sus siglas en inglés) ha publicado un Informe en el que recomienda una serie de cambios sobre el borrador de Reglamento europeo sobre la Privacidad.

Destacamos las siguientes recomendaciones:

  • Cualquier tratamiento de los datos de comunicaciones debería basarse en un fundamento jurídico en virtud del Reglamento sobre privacidad electrónica (artículo 6, considerando 5).
  • La legitimidad del tratamiento electrónico no debería basarse en intereses legítimos no previstos en el Reglamento sobre e-Privacidad.
  • Las definiciones apropiadas son cruciales para implementar la protección de los derechos fundamentales (incluidos "usuario", "usuario final" y "metadatos") (Artículo 4).
  • El consentimiento debe tener el mismo significado que en el RGPD (Artículo 6, 8 y 9).
  • Las configuraciones técnicas deben permitir la prestación y la retirada del consentimiento (Artículo 9 y 10).
  • Las restricciones a los derechos deben ser de alcance limitado (Artículo 11).
  • Se debe otorgar poderes de supervisión a las Autoridades de Protección de Datos (Artículo 18).
  • La protección contra las comunicaciones no solicitadas debe ser integral (Artículo 16).

Puede consultar el Informe íntegro en este enlace.

Si lo desea, puede consultar un artículo detallado sobre la propuesta de Reglamento europeo de e-Privacy y su interconexión con el Reglamento General de Protección de Datos.

La Corte Suprema de EEUU analizará si una empresa americana está obligada a proporcionar a la policía estadounidense correos electrónicos alojados en Europa

La alta instancia judicial deberá determinar si, en el marco de una investigación, la policía estadounidense puede exigir a un servicio de correo electrónico que facilite mensajes guardados en un servidor situado en el extranjero.

En relación a este asunto, el año pasado una corte de apelaciones federal de Nueva York estimó que la empresa no estaba obligada a facilitar esa información debido a que obligarla a proporcionar a la policía americana datos guardados en el servidor de un país europeo abriría la puerta a que autoridades de otros países exijan a su vez información alojada en Estados Unidos.

Se espera que la audiencia ante la Corte Suprema se lleve a cabo a principios de 2018 y que el alto tribunal haga público su veredicto en junio.

Multinacional del sector de servicios de información financiera se desploma en Bolsa tras sufrir un hackeo informático

Una empresa americana con actividad en España dedicada a dar información sobre solvencia crediticia ha visto caer su cotización en bolsa hasta 18 puntos porcentuales tras reconocer que unos hackers informáticos habían accedido a cuentas de 148 millones de clientes.

La quiebra de seguridad incluye números del Seguro Social, fechas de nacimiento, direcciones y, en algunos casos, números del carné de conducir de las personas afectadas.

Además, los piratas cibernéticos accedieron a números de tarjetas de crédito de cerca de 209.000 consumidores y documentos que recogen información personal de cerca de 182.000 personas.

Por el momento, se han abierto varias investigaciones contra la compañía, lo que ha provocado la dimisión de varios altos cargos, incluido el CEO.

Puede consultar la noticia completa aquí.

LA AEPD impone 100.000 euros de multa a dos empresas por infringir los artículos 4.3 y 6 de la LOPD

La AEPD ha resuelto sancionar a una empresa de préstamos financieros con una multa de 50.000 euros por infringir el artículo 6 de la LOPD al haber contratado con una persona a la que le fue suplantada la identidad. Adicionalmente, la deuda producida motivó que la empresa registrase al afectado en un fichero de insolvencia patrimonial, lo que ha sido sancionado por la Agencia con otra multa de 50.000 euros por infringir el artículo 4.3 de la LOPD.

Puede consultar la resolución íntegra en este enlace.

Esta doble infracción (artículo 6 y artículo 4.3 de la LOPD) constituye una vulneración relativamente frecuente de la LOPD en el sector financiero. A modo de ejemplo, facilitamos otra Resolución impuesta la misma semana por la que la AEPD sanciona con 100.000 euros a otra empresa de préstamos financieros.