- Noviembre de 2017 -
El Gobierno aprueba el Proyecto de Ley Orgánica de Protección de Datos de carácter personal

El Consejo de Ministros ha aprobado el nuevo proyecto de Ley Orgánica de Protección de Datos con el objetivo de adaptar el ordenamiento jurídico nacional al nuevo Reglamento Europeo de Protección de Datos (RGPD).

El Texto que el Gobierno ha remitido al Congreso incluye una disposición por la que se deroga la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y cuantas disposiciones de igual o inferior rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y el Proyecto de Ley Orgánica.

Asimismo, la disposición final quinta dispone que la nueva LOPD entre en vigor el 25 de mayo de 2018, coincidiendo con la aplicación directa del RGPD.

Puede consultar el texto íntegro publicado por el Ministerio de Justicia en este enlace.

El Consejo de Estado emite Dictamen sobre el Proyecto de LOPD

El Consejo propone observaciones “esenciales” sobre 13 artículos del Anteproyecto, entre otros en materia de presunción de exactitud de datos obtenidos directamente; del tratamiento de datos amparado por la ley; de la acreditación de la identidad del afectado para el ejercicio de sus derechos; del derecho de acceso; de los tratamientos relacionados con la realización de determinadas operaciones mercantiles; del DPO; de los códigos de conducta y de nombramiento y potestades normativas del Presidente de la AEPD.

Puede consultar el Dictamen íntegro emitido por el Consejo de Estado.

Nueva funcionalidad del servicio de solicitud de copia de la inscripción de ficheros

La AEPD ha habilitado una nueva funcionalidad en su Sede electrónica que permite a los responsables descargar en formato Excel o XML el contenido completo de la inscripción de sus ficheros realizada ante el Registro General de Protección de Datos. La Agencia facilita así en formato digital un contenido que puede ser utilizado como base para elaborar el registro de actividades de tratamiento que será obligatorio a partir de la aplicación del Reglamento General de Protección de Datos (RGPD).

Puede acceder a la nueva funcionalidad en este enlace.

El Tribunal Supremo resuelve que la inclusión errónea de los datos de una deuda o de una garantía en el fichero CIRBE no vulnera el derecho al honor

El Fundamento de Derecho Noveno de la STS 3799/2017 señala que el fichero CIRBE no es propiamente un fichero de datos de carácter personal de los previstos en el apartado 2º del art. 29 de la LOPD , esto es, uno de los denominados habitualmente "registros de morosos" por recoger datos de carácter personal relativos al incumplimiento de obligaciones dinerarias facilitados por el acreedor. CIRBE es un fichero administrativo específico destinado a informar sobre los riesgos de crédito derivados de contratos propios de la actividad financiera. Es posible que contenga informaciones sobre la existencia de incumplimientos de obligaciones dinerarias, cuando las mismas se hayan producido, pero no necesariamente toda persona cuyos datos personales se incluyen en tal fichero está asociada a informaciones sobre tales incumplimientos, basta con que sea prestataria, acreditada o fiadora en una operación de crédito.

En este sentido, el Alto Tribunal establece que “la vulneración del derecho al honor exige, para que pueda considerarse producida, que de las menciones contenidas en el fichero del CIRBE se desprenda que el afectado es un moroso, y que tales menciones no respondan a la realidad. Pero en el presente caso no es controvertido que las menciones contenidas en el CIRBE solo indicaban que los demandantes estaban afectados por un riesgo indirecto al aparecer como avalistas. La simple información sobre la condición de fiador o avalista de una persona en un préstamo concedido por una entidad financiera no supone desmerecimiento. Es más, en la sociedad actual es habitual la solicitud de financiación tanto por los particulares como por las empresas, y la intervención de fiadores o avalistas en tales operaciones, sin que ello lleve aparejada connotación peyorativa alguna.”

Puede consultar el contenido de la STS íntegra en este enlace.

La AEPD sanciona a Google por tratar sin consentimiento datos personales recogidos a través de redes WiFi con los coches de su servicio Street View

La Agencia Española de Protección de Datos (AEPD) ha dictado una resolución que pone fin al procedimiento abierto a la empresa Google en relación a la recogida y tratamiento de datos personales de redes WiFi llevada a cabo por los vehículos empleados en el proyecto Street View.

En el marco de la investigación realizada, la AEPD ha constatado que Google recogió y almacenó datos personales transmitidos a través de redes WiFi abiertas sin que los afectados tuviesen conocimiento de dicha recogida y sin obtener el consentimiento de los mismos. En consecuencia, la Agencia declara la existencia de una infracción grave e impone a Google una sanción de 300.000 euros.

Puede consultar la Resolución íntegra en este enlace.

La AP de Murcia ratifica la indemnización de 9.000 a una persona que fue incluida indebidamente en un registro de morosos

De acuerdo con el fallo, la persona afectada presentó una demanda de protección a su derecho al honor por intromisión ilegítima al verse incluida en el fichero de morosos producto de una incorrecta deuda derivada de una factura errónea.

El tribunal de apelación establece en su sentencia que la “Jurisprudencia que desarrolla los artículos 28 y 29 de la L.O. 15/1999 , de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y los artículos 38 a 43 de su Reglamento, considera que son tres los requisitos precisos para estimar válida la inclusión de una persona en los Ficheros de morosos: 1) la deuda debe ser cierta, vencida, líquida y exigible antes de ser incluida en los ficheros de morosos; 2) No debe haber transcurrido al tiempo de la inclusión más de 6 años desde que hubo de procederse al pago de la deuda; y 3) Previo requerimiento de pago antes de su inclusión en ficheros de solvencia patrimonial”.

Puede consultar la sentencia íntegra en este enlace.

Importantes conclusiones del Abogado General ante el TJUE

El TJUE ha hecho públicas las conclusiones preliminares del abogado general en el caso C-210/16, referido a una página de fans alemana en Facebook que recopiló datos sobre sus visitantes almacenando una cookie en su disco duro. Las cuestiones elevadas al TJUE, entre otros aspectos, consultaban al Tribunal acerca de la responsabilidad, en virtud de la ley de protección de datos, en los casos en que una empresa utiliza un proveedor de servicios para sus propios fines, como una red social, así como por la competencia de las distintas autoridades europeas de protección de datos en casos transfronterizos.

En opinión del Abogado General la empresa alemana debe ser considerada conjuntamente responsable del procesamiento de datos que consiste en la recopilación de datos personales por parte de Facebook, ya que ambas adoptan decisiones sobre cómo se procesan los datos del usuario (la empresa administradora de la página específica de fans en Facebook, y la red social como entidad administradora de las páginas de fans). El hecho de que un administrador "utilice la plataforma ofrecida por Facebook y los beneficios de los servicios asociados con esa plataforma no lo absuelven de sus obligaciones en el campo de la protección de datos personales", indica el abogado general, quien no encuentra diferencias entre el administrador de una página de admiradores y el administrador de un sitio web que contiene un servicio de seguimiento web y, por lo tanto, admite la configuración de cookies y el procesamiento de datos del proveedor de servicios de rastreo web.

Las opiniones de los abogados generales no son vinculantes pero suelen ser seguidas por los jueces de la corte en la mayoría de los casos. La decisión final, en unos meses.

Puede consultar las Conclusiones íntegras en este enlace.

Dictamen del GT 29 sobre la toma de decisiones individuales automatizadas y la elaboración de perfiles

El Grupo de Trabajo del artículo 29, que reúne a las autoridades de protección de datos de todos los Estados miembros, ha aprobado un Dictamen en el que analiza los aspectos legales a tener en cuenta en la elaboración de perfiles y en la toma de decisiones automatizadas, a la luz del Reglamento General de Protección de Datos.

El RGPD introduce, en su art. 22 nuevas obligaciones respecto a la elaboración de perfiles y la toma de decisiones automatizadas, una práctica que se lleva a cabo en la publicidad digital. Si bien el GT29 reconoce los beneficios que aportan estas actividades, también señala que pueden surgir riesgos significativos para los derechos y libertades de las personas.

El documento cubre los siguientes temas:

  • Definiciones de perfiles y toma de decisiones automática y el enfoque de RGPD.
  • Disposiciones específicas sobre la toma de decisiones automática tal como se define en el art. 22 del RGPD.
  • Disposiciones generales sobre la elaboración de perfiles y la toma automatizada de decisiones.
  • Niños y perfiles.
  • Evaluaciones de impacto en la protección de datos.

Puede consultar el Dictamen íntegro en este enlace.

El Grupo de Trabajo del Artículo 29 publica una Guía sobre las notificaciones de quiebras de seguridad en el RGPD

La Guía publicada por el organismo europeo aborda los siguientes asuntos:

  • Conceptos básicos de seguridad
  • Concepto de quiebra de seguridad en el RGPD
  • Notificación a la Autoridad de Control
  • Notificación al titular de los datos
  • Evaluación del riesgo
  • Documentación
  • Funciones del Delegado de Protección de Datos
  • Anexos:

- Diagrama de flujo sobre requisitos de notificaciones

- Ejemplos de quiebra de seguridad y notificaciones

Puede consultar la Guía íntegra en este enlace

El enfoque de riesgos en el Reglamento de Protección de Datos

El análisis de riesgos en el RGPD forma parte del principio de responsabilidad proactiva (accountability) por el que los responsables deben siempre estar en condiciones de demostrar la licitud de los tratamientos y permite la adecuación particularizada de cada tratamiento a sus circunstancias específicas, es decir, permite elaborar un mapa de riesgos y salvaguardas adecuados a cada tratamiento concreto teniendo en cuenta los riesgos para los derechos y libertades de las personas y los riesgos para la seguridad de la información.

Por ello, la AEPD ha publicado en su blog una entrada dedicada al análisis de riesgos, entendiendo este último como un estudio metódico y sistemático en el que se utilizan métricas que ayudan a cuantificar comprensivamente el grado de riesgo.

Para llevar a cabo este estudio, la AEPD señala que es necesario utilizar una metodología que permita trazar los niveles de riesgo aceptables en cada caso, ya que sin la ayuda de una metodología no podrá realizarse un análisis de riesgo de forma objetiva. Estas metodologías pueden venir del sector corporativo o de negocio, del mundo normativo (ISO) o de las propias Administraciones como es el caso de la metodología de análisis de riesgos MAGERIT.

En opinión de la AEPD, algunas de las fases que podrían ser tenidas en cuenta para implementar una política de riesgos son:

  • Establecer prioridades y objetivos, concienciación y formación del personal.
  • definir el marco en el que se desarrolla la política de análisis de riesgos teniendo en cuenta normativas aplicables, riesgos aceptables y el mapa de elementos implicados en los tratamientos de datos personales.
  • Elaboración del mapa de riesgos de la organización, cuantificar posibles daños.
  • Analizar y evaluar el riesgo: mediante escalas cuantitativas o cualitativas se establecen valores objetivos para cada riesgo.
  • Gestionar el riesgo: determinar para cada riesgo las salvaguardas aplicables teniendo en cuenta la relación costo-beneficio que pueda existir en cada caso.
  • Seguimiento del riesgo: auditorías, informes, incorporación de activos, en general cualquier cambio que implique una modificación del riesgo y sus salvaguardas correspondientes.

Puede consultar la entrada del blog de la AEPD en este enlace.

Asimismo, puede consultar documentación relativa a la metodología de análisis y gestión de riesgos de los sistemas de información MAGERIT v.3:

Debate sobre el Delegado de Protección de Datos

La figura del Delegado de protección de datos, más conocido por su abreviatura inglesa de DPO (Data Protection Officer), es una de las que están siendo objeto del mayor interés jurídico en la actualidad.

Su implantación por el Reglamento General de Protección de Datos, cuyo artículo 39 lo presenta como la figura responsable de supervisar el cumplimiento de lo dispuesto en el Reglamento y en la demás normativa europea o nacional aplicable, “incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes”, está provocando que sean múltiples las jornadas y sesiones de estudio en las que se está analizando esta figura.

Una de las más recientes e interesantes ha sido la celebrada en el marco del Congreso sobre Privacidad y Protección de Datos celebrado en Madrid.

Puede consultar un resumen sobre las opiniones de los expertos en este enlace.

Estudio sobre la Transposición de la Normativa NIS al Ordenamiento Jurídico español

La Directiva (UE) 2016/1148 (LA LEY 11863/2016), de 6 de julio de 2018, conocida como Directiva NIS, establece medidas para garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, estableciendo unos estándares comunes de seguridad cibernética y fomentando la cooperación entre los Estados para prevenir ciberataques.

Desde su publicación, los Estados miembro disponen de 21 meses para transponer la Directiva a sus respectivos ordenamientos jurídicos, es decir hasta el 25 de mayo de 2018.

La Fundación ESYS (seguridad empresarial) ha publicado un Informe realizado a partir de una amplia encuesta a las principales empresas españolas para recoger su punto de vista y las posibles demandas sobre la entrada en vigor de la Normativa europea NIS y su transposición a la legislación española, así como las posibles consecuencias en el desarrollo de su actividad.

El estudio presenta las siguientes conclusiones:

1. La UE debería mantener y publicar los estándares de ciberseguridad como una certificación opcional y no obligatoria.

2. La Comunicación de los incidentes de ciberseguridad deben centralizarse en una Ventanilla Única con flexibilidad en los plazos y un marco de actuación armonizado.

3. Debe limitarse la responsabilidad del Operador de Servicios Esenciales en la notificación de incidentes para evitar consecuencias en su reputación.

4. Se debe garantizar la confidencialidad en el intercambio de información.

5. Para mejorar la eficacia en la identificación de incidentes se debe aumentar la colaboración público-privada para categorizar criterios, por ejemplo, los limitados a las interrupciones del servicio.

6. Se debe aplicar un enfoque global a los productos TIC que incluya criterios de seguridad por diseño.

7. Para mejorar la eficiencia de la ciberseguridad se deben evitar duplicidades normativas a nivel europeo y español armonizando las legislaciones.

8. Se debe clarificar a qué equipo de respuesta a incidentes de seguridad (CSIRT) debe reportar cada empresa.

9. Las empresas deben participar activamente en la definición de criterios y mecanismos de aplicación de la Directiva NIS.

Puede consultar el documento íntegro en este enlace.