- Junio de 2018 -
La AEPD centra su 10ª Sesión Anual Abierta en facilitar a empresas y organizaciones la adaptación al RGPD

La Agencia Española de Protección de Datos efectuó, durante la 10ª Sesión Anual Abierta, celebrada el día 4 de junio de 2018, un repaso de todas aquellas implicaciones prácticas que supone la plena aplicación del Reglamento General de Protección de Datos, así como las iniciativas que se deben llevar a cabo para su adaptación.

En dicha sesión se analizó los aspectos del RGPD que mayor trascendencia e impacto tienen para las empresas, tales como los nombramientos de Delegados de Protección de Datos, los registros de las actividades de tratamiento o la elaboración de los códigos de conducta. Del mismo modo, la AEPD también hizo referencia a la presencia de nuevas herramientas desarrolladas por la propia Agencia, que pretenden facilitar esta adaptación al nuevo Reglamento por parte de PyMes, como la herramienta “Facilita”.

Puede ver la apertura y presentación de la Sesión Anual, intervención realizada por la directora de la AEPD, Mar España Martí, aquí.

Puede ver la intervención de Manuel Villaseca López, Coordinador de Evaluación y Estudios Tecnológicos, sobre el registro de las actividades de tratamiento, aquí.

Puede ver la intervención de Andrés Calvo Medina y Mª Rosario Heras Carrasco, sobre las guías que ha presentado la AEPD para resolver cuestiones relacionadas con el análisis de riesgos, las evaluaciones de impacto o las brechas de seguridad, aquí.

Puede ver la entrega de los premios protección de datos 2017 de investigación, comunicación e iniciativas al reglamento europeo de protección de datos, a través del siguiente link.

Puede ver la intervención de Jesús Rubí Navarrete, Adjunto a la Dirección de la AEPD, y de Julián Prieto Hergueta, Subdirector General del Registro General de Protección de Datos, sobre el principio de accountability, el papel del delegado de protección de datos y la figura de los códigos de conducta, a través del siguiente link.

Puede ver la intervención de Pedro Colmenares Soto, Subdirector General de Inspección de Datos, sobre la potestad sancionadora, las nuevas funciones de las autoridades de control y los procedimientos transfronterizos, aquí.

Puede ver la intervención de Rafael García Gozalo, Jefe del Departamento de Internacional, sobre las orientaciones del grupo de trabajo del artículo 29 en relación con el RGPD y el papel del comité europeo de protección de datos, a través del siguiente link.

Puede ver la intervención de Agustín Puente Escobar, Jefe del Gabinete Jurídico de la Agencia Española de Protección de Datos, acerca del proyecto de ley orgánica de protección de datos, aquí.

El TC declara que la búsqueda por nombre propio en las hemerotecas digitales puede vulnerar el derecho al olvido

La Sala Primera del Tribunal Constitucional, en su reciente Sentencia de 4 de junio de 2018, se ha pronunciado por primera vez sobre el “derecho al olvido” (considerándolo, según la sentencia, “una vertiente del derecho a la protección de datos personales frente al uso de la informática (art. 18.4 CE), y también un mecanismo de garantía para la preservación de los derechos a la intimidad y al honor, con los que está íntimamente relacionado, aunque se trate de un derecho autónomo”), estimando parcialmente un recurso de amparo interpuesto por dos personas (D.F.C. y M.F.C.) que consideraron vulnerados sus derechos al honor, a la intimidad y a la protección de datos, al aparecer sus nombres y apellidos en los buscadores de hemerotecas digitales, ya que esto permitía localizar en la hemeroteca digital del diario, por los datos personales de las personas recurrentes, una determinada noticia que hacía referencia a ellas, publicada en papel en los años 80.

El TC ha declarado que esta actuación ha vulnerado el derecho de las personas demandantes de amparo al honor e intimidad (art. 18.1 CE) y a la protección de sus datos personales (art. 18.4 CE).

En la Sentencia, los magistrados de la Sala Primera el Tribunal Constitucional consideran que la prohibición de indexar los datos personales (nombres y apellidos) para su uso por el motor de búsqueda interno del diario debe ser considerada una medida limitativa de la libertad de información idónea, necesaria y proporcionada al fin de evitar una difusión de la noticia lesiva de los derechos invocados. Esta medida es adecuada ya que su adopción “limitará la búsqueda y localización de la noticia en la hemeroteca digital sobre la base de datos personales inequívocamente identificativos de las personas recurrentes”.

A pesar de que se suprima la posibilidad de efectuar la búsqueda de la noticia (que ocurrió hace ya treinta años, por lo que su interés público es menor) a través del nombre y apellido de los recurrentes, que no tienen relevancia pública alguna, los motores de búsqueda del sitio web seguirán permitiendo tanto el hallazgo como la publicación de la noticia, ya que según la sentencia “siempre será posible, si existe una finalidad investigadora en la búsqueda de información alejada del mero interés periodístico en la persona “investigada”, localizar la noticia mediante una búsqueda temática, temporal, geográfica o de cualquier otro tipo”.

Puede leer la noticia completa aquí

Link al documento completo de la sentencia del Tribunal Constitucional.

La Agencia Española de Protección de Datos publica su Memoria Anual de 2017

La Agencia Española de Protección de Datos ha publicado el día 11 de junio de 2018 su memoria anual de 2017, en la que se recogen las actividades llevadas a cabo por la propia institución, los objetivos de la misma, así como las decisiones que se han debido tomar y el impacto de estas o los procedimientos que mayor trascendencia han tenido durante el año 2017.

Llama la atención el incremento de un 36,8% en los dos últimos años de denuncias planteadas ante la Agencia en relación con el tratamiento de los datos personales en internet, debido a la mayor preocupación existente en la sociedad actual en relación a este tema.Del mismo modo, se debe resaltar la trascendencia relativa a la inclusión de los datos personales en ficheros de solvencia patrimonial así como a la contratación irregular (Ej. suplantación de la identidad en la contratación de servicios de telecomunicaciones), ya que estas dos actuaciones suponen más del 55% del importe global de las sanciones que impone la Agencia.

Puede consultar el documento completo de la memoria de la Agencia aquí.

La AEPD publica una guía para adaptar la utilización de videocámaras al Reglamento de Protección de Datos

La Agencia Española de Protección de Datos (AEPD) ha publicado el 29 de junio de 2018 su guía titulada ”protección de datos: Guía sobre el uso de videocámaras para seguridad y otras finalidades”. Esta guía tiene como objetivo analizar la utilización de estos dispositivos tanto con fines de seguridad, como para otros usos diferentes (control de la actividad laboral, grabaciones de sesiones de órganos colegiados o captación de imágenes en eventos escolares), estructurando la misma en dos bloques independientes.

La guía recoge todas aquellas obligaciones y principios que establece el RGPD y que deben ser tenidos en cuenta cuando se tratan imágenes recogidas a través de videocámaras. Del mismo modo, el documento dedica un apartado específico al uso de “tecnologías emergentes”, como puede ser el uso de cámaras on board o de cámaras incorporadas a drones.

Procedimiento de adaptación de la normativa interna al nuevo RGPD en países de la Unión Europea

La adaptación de la normativa interna al Reglamento General de Protección de Datos se encuentra en diferentes estados en función del país de la Unión Europea que analicemos.

En España, el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, que derogará la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, continúa su tramitación y no hay fecha aún estipulada para su entrada en vigor.

En Francia, el Proyecto de Ley relativo a la protección de los datos personales, que derogará la actual Ley (act N°78-17 of 6 January 1978 on information technology, data files and civil liberties) continúa su tramitación de acuerdo a lo dispuesto en la legislación francesa.

En Polonia, la nueva Ley de Protección de Datos Personales entró en vigor el 25 de mayo de 2018, derogando la, hasta el momento, actual Ley de Protección de Datos.

En Bélgica, el Proyecto de Ley de Protección de Datos que adapta la normativa nacional al RGPD fue aprobado por el Consejo de Ministros el 16 de marzo de 2018. El Proyecto de Ley fue remitido al Consejo de Estado y a la Autoridad Belga de Protección de Datos para su revisión. Del mismo modo, el Proyecto revisado fue remitido al Parlamento Federal Belga para su aprobación. No obstante, el mismo no ha sido aún aprobado.

En la República Checa, el proyecto de Ley de Protección de Datos continúa en tramitación, a la espera de ser aprobada por la Cámara de los Comunes. Este proyecto de Ley derogará la actual Ley de Protección de Datos (Act No. 101/2000 Coll.).

En Austria, la nueva Ley Austríaca de Protección de Datos que adapta la legislación nacional al RGPD, fue aprobada el 29 de junio de 2017 y entro en vigor el 25 de mayo de 2018.

En Finlandia, el Proyecto de Ley de Protección de Datos propuesto por el Gobierno continúa, actualmente, en tramitación para poder ser aprobado. En un primer momento, se intentó que la Ley entrase en vigor el mismo día en que el RGPD era aplicable. Sin embargo esto no ha sido posible, ya que el Comité Legislativo del Parlamento explicó que era necesario más tiempo para que el Proyecto pudiera ser aprobado a través del procedimiento parlamentario. Aún no ha sido confirmada fecha alguna de publicación.

Para poder seguir las actualizaciones que realizarán todos los estados miembros con el objetivo de adecuar su normativa interna, le recomendamos que visite la página web que ha facilitado la firma legal Bird&bird a través del siguiente link.

La UE llega a un acuerdo para permitir la libre circulación de datos no personales en la Unión

Se ha logrado alcanzar un acuerdo político por parte de los negociadores de la Eurocámara, el Consejo y la Comisón Europea que permite eliminar aquellas barreras “injustificadas” que se imponían a la libre circulación de datos no personales entre Estados miembro.

De esta manera, se establece un nuevo marco para el almacenamiento y procesado de datos no personales a través de la Unión Europea, que prohíbe las restricciones a su localización. Las encargadas de control del almacenamiento o procesamiento de los datos serán las autoridades públicas.

Puede leer la noticia completa de Europa Press en el siguiente link.

Comentarios del European Data Protection Supervisor (Supervisor Europeo de Protección de Datos) respecto a la propuesta de regulación por parte del Parlamento y del Consejo Europeo del flujo libre de datos de carácter no personal en la Unión Europea

El supervisor Europeo de Protección de Datos ha emitido el día 11 de junio de 2018 informe que tiene como objetivo valorar y comentar la propuesta realizada por la Comisión Europea en relación a la regulación para el flujo libre de datos de carácter no personal en la Unión Europea.

Esta propuesta legislativa permite la libre circulación de datos no personales en el mercado interior de la Unión Europea, facilitando la transferencia de datos a los usuarios profesionales y permitiendo a los usuarios cambiar más fácilmente entre proveedores de servicios en la nube.

No obstante, en el informe elaborado se muestran determinadas complicaciones que podrían derivarse de la adopción de esta propuesta legislativa. Entre otras, el informe menciona la dificultad práctica existente a la hora de aplicar el concepto “datos no personales”, ya que la definición que se da a los“datos de carácter personal” es muy amplia y dinámica y sólo puede ser determinada caso por caso.

Puede acceder al informe completo del EDPS en el siguiente link.

Comentarios del Supervisor Europeo de Protección de Datos (EDPS por sus siglas en inglés) relativos a la propuesta de la Comisión Europea de elaboración de un Reglamento por el que se establece una Autoridad Laboral Europea

La Comisión Europea redactó una propuesta de Reglamento por el que se establece una Autoridad Europea Laboral (European Labour Authority). Las funciones de esta Autoridad implicarán la implementación de iniciativas ya en curso, así como tratar de fomentar la confianza mutua que debe regir el mercado interno de la UE mediante la garantía de que las normas de la Unión Europea se aplican de manera efectiva y justa. Esto sería llevado a cabo mediante el apoyo a diversos Estados Miembro en cuestiones relacionadas con la movilidad laboral transfronteriza (normas sobre la libre circulación de trabajadores…).

Con motivo de la redacción de la propuesta de Reglamento por parte de la Comisión Europea, se solicitó la emisión de un informe elaborado por el EDPS. Dicho informe tiene como objetivo aconsejar y asesorar a la Comisión Europea sobre la elaboración de estas nuevas iniciativas y propuestas legislativas para que se adecúen a la normativa existente sobre la protección de datos. Los comentarios principales del informe se centran en definir claramente cuáles son las tareas que lleva a cabo la European Labour Authority (ELA) y otros organismos involucrados en el tratamiento de los datos dentro del portal EURES (portal de movilidad laboral de la UE), así como sus responsabilidades. Esto se realiza con el objetivo de conocer quién es el responsable de garantizar el cumplimiento de las reglas de protección de datos.

Puede leer el informe completo aquí.

La AEPD presenta una guía para gestionar y notificar las quiebras de seguridad según el Reglamento

La AEPD ha presentado el día 19 de junio, su “Guía para la gestión y notificación de brechas de seguridad” elaborada junto a la Asociación Española para el Fomento de la Seguridad de la Información (ISMS Forum) y en colaboración con el Centro Criptológico Nacional (CCN) y el Instituto Nacional de Ciberseguridad de España (INCIBE).

Esta guía está dirigida a los responsables del tratamiento de datos personales y ha sido elaborada con el objetivo de facilitar la aplicación del RGPD en lo relativo a la obligación de notificar las quiebras de seguridad a la autoridad competente y, en su caso, a los afectados, debido a que el Reglamento impone la obligación, a cualquier Responsable del tratamiento, de notificar a la Agencia las brechas de seguridad que pudiesen afectar a datos personales (aquí radica la importancia de que todas las organizaciones sepan cómo gestionarlas).

Con esta guía la Agencia pretende que la notificación a la autoridad competente se realice por el canal adecuado, contenga la información útil y necesaria, y se adecúe a las nuevas exigencias del RGPD.

La importancia de esta guía radica en la cantidad de notificaciones de brechas de seguridad que se han realizado desde el pasado 25 de mayo a la AEPD, por parte de diferentes organizaciones. Según el periódico jurídico “confilegal” (link a la noticia), se han notificado 37 brechas de seguridad, no generando, ninguna de ellas, un procedimiento sancionador.

Puede consultar el documento completo de la “Guía para la gestión y notificación de brechas de seguridad” aquí.

El Parlamento Europeo cuestiona el Escudo de Privacidad, protocolo que regula intercambios de datos entre EE.UU. y la UE

El Comité de Libertades Civiles del Parlamento Europeo ha formulado una propuesta de resolución para su aprobación en pleno, en la que solicita a la Comisión Europea la suspensión del acuerdo sobre el Escudo de Privacidad (“Privacy Shield”) entre la Unión Europea y EEUU, que se encuentra en vigor desde julio de 2016, y en virtud del cual se facilita la transferencia internacional de datos entre ambas zonas.

Esta solicitud se debe a que el mismo, en opinión del Parlamento Europeo, no garantiza la suficiente protección de los datos de los ciudadanos de la Unión Europea, de tal manera que el incremento de los estándares de seguridad y privacidad por parte del Gobierno americano deviene imprescindible.

Puede leer la noticia completa de Confilegal en el siguiente link