- Diciembre de 2018 -
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales ha sido publicada en el Boletín Oficial del Estado

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los derechos digitales ha sido publicada en el Boletín Oficial del Estado de fecha 6 de diciembre de 2018. Esta Ley, según su disposición final decimosexta (“entrada en vigor”) entró en vigor en el día posterior a su publicación, esto es, el día 7 de diciembre de 2018.

Puede acceder al texto íntegro de la Ley aquí.

La AEPD publica tres guías sobre las novedades que contiene la Ley Orgánica 3/2018 para los ciudadanos, el Sector Público y el Sector Privado

La Agencia Española de Protección de Datos ha publicado tres guías que recogen las novedades más importantes que contiene la nueva Ley Orgánica y que afectan a los ciudadanos, al Sector Público y al Sector Privado.

Respecto a las novedades que esta ley orgánica recoge para los ciudadanos, la AEPD menciona, entre otras, el derecho que tienen los mismos a ser informados sobre el tratamiento de sus datos personales y sobre el ejercicio de sus derechos; la limitación de la actividad publicitaria de las empresas mediante el registro en los sistemas de exclusión publicitaria (listas robinson) o los derechos digitales de los trabajadores (tales como el derecho a la intimidad en el lugar de trabajo frente al uso de dispositivos de videovigilancia o el derecho a la desconexión digital).

Puede acceder a la guía completa de la AEPD sobre las novedades de la LOPD para los ciudadanos aquí.

En cuanto a las novedades que esta ley contiene para el Sector Público, la AEPD recoge en su informe, entre otras, la obligación de los órganos y organismos del Sector Público de designar un DPD y de notificar dicho nombramiento a la autoridad de control, la obligación de publicar en sus páginas web el inventario de las actividades de tratamiento de datos personales que realizan (identificando quién trata los datos, con qué finalidad y qué base jurídica legitima ese tratamiento) o la potestad de los órganos y organismos del Sector Público de verificar, sin necesidad de solicitar consentimiento del interesado, la exactitud de los datos personales manifestados por los ciudadanos que obren en poder de dichos organismos.

Puede acceder a la guía completa de la AEPD sobre las novedades para el Sector Público aquí.

Con relación a las novedades que la Ley Orgánica 3/2018 contiene para el Sector Privado, la AEPD menciona, entre otras, los sistemas de denuncia interna como mecanismo para que los integrantes de una organización puedan poner en su conocimiento la comisión de infracciones que pudieran resultar contrarias a la normativa, las modificaciones introducidas en los requisitos para incluir los datos personales en los ficheros de solvencia patrimonial o la obligación de bloqueo de los datos personales tras el ejercicio de los derechos de rectificación o supresión.

Puede acceder a la guía completa de la AEPD sobre las novedades para el Sector Privado aquí.

Informe del Gabinete Jurídico de la AEPD sobre el tratamiento de datos relativos a opiniones políticas por los partidos

El Gabinete Jurídico de la Agencia Española de Protección de Datos ha emitido un informe en el que se analiza el tratamiento de datos de carácter personal (las opiniones políticas) en relación con la Disposición final tercera de la Ley Orgánica 3/2018, que modifica la LOREG añadiendo el artículo 58 bis.

El informe recoge que los partidos políticos sólo podrán tratar aquellas opiniones políticas que hayan sido libremente expresadas por las personas en el ejercicio de su derecho a la libertad de expresión y a su libertad ideológica y que hayan sido obtenidas de páginas web y otras fuentes de acceso público.

Respecto a la ausencia de definición de fuentes accesible al público en la Ley Orgánica 3/2018, la AEPD establece que puede seguir aplicándose como criterio interpretativo (adaptándola al contexto actual) la definición que contenía el artículo 3.j) de la Ley Orgánica 15/1999.

En cuanto al tipo de tratamiento que pueden llevar a cabo los partidos políticos, se establece que deberá ser proporcional al objetivo perseguido (art 9.2 RGPD), por lo que no ampara tratamientos no proporcionales como el microtargeting ni que tengan por finalidad forzar o desviar la voluntad de los electores. A mayor abundamiento, el Gabinete Jurídico afirma que estos tratamientos deben cumplir con los principios que recoge el artículo 5 del RGPD.

El informe de la autoridad de control recoge, asimismo, las garantías adecuadas que el legislador no ha establecido en la ley y que, por tanto, deben ser identificadas por la AEPD. Entre ellas, establece la responsabilidad desde el diseño y por defecto, la designación de un DPD o la realización de una evaluación de impacto o de un registro de actividades del tratamiento.

Puede acceder al informe íntegro del Gabinete Jurídico aquí.

La Agencia Española de Protección de Datos publica el registro de Delegados de Protección de Datos

La AEPD ha publicado el registro de Delegados de Protección de Datos, que contiene los datos de contacto de cerca de 20.000 entidades (tanto del sector público como del sector privado). Este registro de consulta permite que cualquier interesado, introduciendo el nombre, razón social o NIF de la organización, conozca el contacto de los DPD que hayan sido comunicados a la autoridad de control.

Con ello, la AEPD da cumplimiento a lo dispuesto en el artículo 34.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los derechos digitales que establece que “La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos mantendrán, en el ámbito de sus respectivas competencias, una lista actualizada de delegados de protección de datos que será accesible por medios electrónicos”.

La información del presente registro es actualizada diariamente y contiene los datos de contacto que los responsables o encargados del tratamiento facilitan a la AEPD a través del formulario que se encuentra disponible en su Sede electrónica.

Puede acceder a la página de consulta de los Delegados de Protección de Datos de la  AEPD aquí.

Anteproyecto de Ley Orgánica sobre la utilización de los datos del registro de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves

El Consejo de Ministros ha aprobado el Anteproyecto de Ley Orgánica sobre la utilización de los datos del registro de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves.

Este Anteproyecto tiene como objeto la incorporación de la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril, relativa a la utilización de datos del registro de nombre de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave a nuestro Ordenamiento jurídico.

En virtud del mismo, los datos de carácter personal (nombre y apellidos del pasajero, dirección y datos de contacto, datos de pago, información sobre el equipaje, etc.) serán recogidos en vuelos internacionales (extracomunitarios e intracomunitarios, así como comerciales y privados) por la Unidad de Información sobre Pasajeros española, encuadrada en el Centro de Inteligencia contra el Terrorismo y el Crimen Organizado (CITCO), aplicándose la normativa vigente sobre protección de datos, y sirviendo únicamente para prevenir, detectar, investigar y enjuiciar los delitos de terrorismo tipificados en nuestro Código Penal y delitos muy graves a los que se refiere la Directiva.

Puede acceder al texto del Anteproyecto de Ley aquí.

La Oficina del Comisionado de la Información del Reino Unido publica unas guías relativas a la Protección de datos y el Brexit

El ICO británico ha publicado diversas guías y herramientas prácticas que tienen como objetivo aconsejar e informar a las compañías (sobre todo a las PyMES) sobre su modo de actuación para el supuesto de que no se alcance un acuerdo de Brexit.

Como afirma Elizabeth Denham (UK Information Commissioner), hasta la actualidad y gracias a la plena aplicación del RGPD, los datos de carácter personal han podido ser comunicados y transmitidos entre empresas en Reino Unido y la Unión Europea en virtud de las estipulaciones establecidas en el Reglamento General de Protección de Datos. No obstante, esta situación podrá verse afectada en el supuesto de que Reino Unido abandone la Unión Europea sin un acuerdo de Brexit que regule específicamente esta situación.

Por ello, el ICO ha publicado una guía que contiene seis pasos que deben realizar las compañías británicas para adecuar el tratamiento de datos de carácter personal a una hipotética situación en el supuesto de que Reino Unido abandone la UE en marzo de 2019 sin acuerdo. Del mismo modo, la autoridad de control ha publicado una serie de directrices que establecen cuáles son las consecuencias de no alcanzar un acuerdo en materia de protección de datos.

Puede acceder al comunicado de prensa de Elizabeth Denham aquí.

El ICO británico, la CNIL francesa y la AP holandesa imponen diversas sanciones a Uber

La Oficina del Comisionado de la Información de Reino Unido ha impuesto una sanción de 385.000,00 libras a UBER por no haber sido capaz de garantizar que los datos de carácter personal de sus clientes se encontraban correctamente protegidos durante un ataque cibernético.

Una serie de fallos en las medidas de seguridad de la compañía permitieron que terceros pudiera acceder a datos de carácter personal (tales como nombres, direcciones de email y números de teléfonos) de los clientes que se encontraban almacenados.

No obstante, la compañía no informó de este suceso a sus clientes y tomó la decisión de pagar 100.000,00 dólares a aquellos que accedieron y descargaron los datos de carácter personal de terceros con el objetivo de que eliminasen y destruyesen dicha información.

Del mismo modo, la autoridad holandesa de protección de datos, la Autoriteit Persoonsgegevens, ha impuesto una sanción de 600.000,00 euros a la compañía por el mismo motivo. Esto se debe a que se ha llevado a cabo una actuación conjunta de cooperación e investigación, dirigida por la AP, entre las autoridades de control de distintos países con el objeto de investigar el incidente mencionado en sus respectivos países. Asimismo y en virtud de esta cooperación entre autoridades de control, la CNIL francesa ha impuesto una sanción de 400.000 € a la compañía.

Puede acceder a la resolución del ICO aquí, a la resolución de la AP aquí y a la resolución de la CNIL aquí.

El “European Data Protection Board” somete a consulta pública sus directrices sobre el ámbito territorial del Reglamento General de Protección de Datos

El EDPB ha publicado una guía que tiene como objetivo aclarar algunos aspectos del artículo 3 del Reglamento General de Protección de Datos (“Ámbito territorial”), ya que el mismo puede resultar de aplicación a compañías de otros continentes, debiendo cumplir, por ello, con las obligaciones que se establecen en la citada normativa. Es por este motivo que, en esta guía, el EDPB busca clarificar el criterio a seguir para establecer cuál es el ámbito territorial del RGPD.

Con motivo del trascendental impacto que las directrices que contiene esta guía pueden producir en las actividades de diversas instituciones y empresas, tanto europeas como de otros países, con potenciales sanciones graves para quienes no cumplan con el Reglamento, el EDPB ha presentado el citado texto para su consulta pública antes de su aprobación definitiva. Cualquier comentario que se realice sobre la guía podrá enviarse a la dirección de correo EDPB@edpb.europa.eu antes del 18 de enero de 2019.

Puede acceder a la guía emitida por el EDPB aquí.

La CNIL francesa actualiza su herramienta PIA (Evaluación de Impacto)

La herramienta desarrollada por la Comisión Nacional de la Informática y las Libertades ha sido actualizada tras haber sido descargada por más de 130.000 usuarios, permitiendo con ello la creación de modelos evaluación de impacto (AIPD por sus siglas en francés, modèles d’analyse d’Impact relative à la Protection des Données). Del mismo modo, se han llevado a cabo mejoras y correcciones en la herramienta, tales como la armonización de los elementos gráficos de la interfaz, la mejora de la vista previa de la evaluación de impacto o la optimización de la misma.

Puede acceder a la publicación de la CNIL aquí.

La Comisión de Asuntos Constitucionales del Parlamento Europeo emite un informe sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE, Euratom) nº 1141/2014

La Comisión de Asuntos Constitucionales del Parlamento Europeo (European Parliament Committee on Constitutional Affairs, AFCO Committee), ha emitido el 6 de diciembre de 2018 un informe sobre la propuesta de Reglamento que prevé, entre otras cuestiones, la introducción de sanciones para partidos o fundaciones políticas europeos que deliberadamente infrinjan las normas de protección de datos de carácter personal para tratar de influir en los resultados de las elecciones del Parlamento Europeo de mayo de 2019.

Esta propuesta tiene por objetivo garantizar tanto la celebración de elecciones libres y justas al Parlamento Europeo como la  protección de las personas físicas en lo que respecta al tratamiento de sus datos de carácter personal.

La propuesta de Reglamento debe ser aprobada por el Parlamento y el Consejo Europeo, y será plenamente aplicable tras su publicación en el Diario Oficial de la Unión Europea (DOUE).

Puede acceder al informe sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE, Euratom) nº 1141/2014 en lo que respecta a un procedimiento de verificación relacionado con las infracciones de las normas sobre protección de datos personales en el contexto de las elecciones al Parlamento Europeo aquí.

Publicación en el DOUE del Reglamento 2018/1725 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos

El Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo de 23 de octubre de 2018 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE ha sido publicado en el Diario Oficial de la Unión Europea de 21 de noviembre de 2018 (puede consultar el DOUE aquí). Tal y como menciona su artículo 101, el Reglamento entró en vigor 20 días después de su publicación. 

Habida cuenta de ello, desde el día 12 de diciembre de 2018, en virtud del citado Reglamento, todos los órganos e instituciones europeas tienen la obligación de notificar ciertos tipos de violaciones de seguridad de datos personales al Supervisor Europeo de Protección de Datos. Cualquier órgano de la UE debe cumplir con esta obligación en un periodo inferior a 72 horas después de haber conocido la brecha de seguridad. En el supuesto de que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos y libertades de las personas físicas, el órgano europeo deberá comunicarla, del mismo modo, al interesado sin dilación indebida.

Las Instituciones de la UE deben asegurarse de que poseen los mecanismos adecuados para prevenir y detectar estas brechas de seguridad, así como para poder notificarlas de manera correcta en el supuesto de que fuese necesario.

Por ello, el EDPS ha emitido unas directrices que proporcionan diversos consejos prácticos para las instituciones y órganos europeos con el objetivo de que puedan cumplir con la normativa vigente tratando de facilitar el cumplimiento por parte de los diversos órganos europeos de las obligaciones de notificación al Supervisor Europeo de Protección de Datos.

Asimismo, y con motivo de la plena aplicación del Reglamento (UE) 2018/1725, el Supervisor Europeo de Protección de Datos ha publicado un documento que recoge diversas cuestiones que afectan a terceros sobre esta nueva normativa, tales como los derechos que asisten a los interesados.

ZABÍA ABOGADOS OS DESEA FELIZ NAVIDAD Y PRÓSPERO AÑO 2019

.