Este próximo 25 de mayo de 2022, finaliza el plazo para la adaptación de los contratos, en materia de protección de datos, con nuestros proveedores. Desde ese momento, no resultarán validos los contratos firmados al amparo de la Ley Orgánica 15/1999. 

En este sentido, la LOPDGDD, introdujo una disposición transitoria quinta para que los contratos entre responsables y encargados se adapten en un plazo máximo de cuatro años –cuando sean indefinidos– o cuando se realice la primera prórroga.

El contrato de confidencialidad y acceso a datos por cuenta de terceros (contrato de encargado de tratamiento) deben formalizarlo aquellas empresas o profesionales, con sus proveedores de servicios, cuando esta prestación de servicios requiera un acceso directo o indirecto a datos de carácter personal. El Reglamento (UE) 2016/679, de 27 de abril, de protección de datos de carácter personal (en adelante RGPD), define este acuerdo como un “contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable”.

La normativa anterior, en este caso, la LOPD 15/1999, regulaba este acuerdo en su art. 12, exigiendo la formalización, y destacando que no resultaba tan exigente con los prestadores de servicios como resulta la normativa vigente.

En cuanto a la obligación de firma de este contrato, se encuentra consagrada en el art. 28 del RGPD y el art. 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos de carácter personal y garantía de los derechos digitales (en adelante LOPDGDD).

Por otro lado, en cuanto a los intervinientes en el acuerdo, el art. 4 del RGPD, define al Responsable del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”; mientras que el encargado del tratamiento resulta definido como “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.

En relación a las particularidades y contenido mínimo del acuerdo, tal y como deviene de lo establecido por el legislador:

• Es un documento que define las responsabilidades, vínculos y acuerdos de las partes. 
• No resultan válidos los acuerdos verbales, debiendo constar por escrito.
• En cuanto al contenido, debe regular el objeto, duración, naturaleza y finalidad del tratamiento de datos que se encarga; tipo de datos personales tratados; categorías de interesados de los que el encargado tratará datos directa o indirectamente; obligaciones y derechos del responsable; particularidades de la subcontratación de servicios; las obligaciones del encargado. 

Por otro lado, el art. 28.1 del RGPD, establece la obligatoriedad del Responsable de “elegir únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado”.

Además, en relación a las consecuencias de no formalización del acuerdo de encargado de tratamiento, el art. 73 de la LOPDGDD califica el hecho como infracción grave, estableciendo que:

“j) La contratación … de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas…”.

“k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito conforme el artículo 28.3 RGPD”.

“l) La contratación por un encargado … de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles” .

De igual modo, tal y como deviene de lo establecido en el art. 74 de la LOPDGDD, el hecho conllevará la calificación de infracción muy grave en los siguientes supuestos:

“j) Que el encargado no comunique al responsable acerca de la posible infracción por una instrucción recibida de este de las disposiciones del RGPD…”. 

“k) El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento”.

Como consecuencia de lo anterior, podemos determinar que el contrato de encargado del tratamiento, no solo da cumplimiento a la normativa vigente, sino que define las responsabilidades entre las partes y exige a los prestadores de servicios mayor diligencia y garantías. 

Desde GRUPO DATA, como consultoría especializada en materia de protección de datos, nos encontramos a su disposición para regular estas cuestiones y aclararle las dudas que le surjan. 

 

Publicado el 25 de Marzo de 2022
Por María González
Responsable del Departamento Jurídico

El desarrollo de políticas basadas en la igualdad efectiva, tiene su máximo exponente en la figura del Plan de Igualdad, como instrumento destinado a la integración de la igualdad en las relaciones laborales, así como, en todos los ámbitos de gestión de la entidad. 

El Real Decreto-ley 6/2019, de 1 de marzo, de medidas urgentes para garantía de la igualdad de trato y de oportunidades entre mujeres y hombres en el empleo y la ocupación, incorporó cambios muy significativos en la Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres, en materia de planes de igualdad.

Entre estas importantes novedades, encontramos la modificación del artículo 45.2, estableciendo la obligatoriedad de que todas las empresas con cincuenta o más personas trabajadoras deberán elaborar y aplicar un plan de igualdad.

A efectos de que la ampliación de las empresas obligadas a realizar el plan de igualdad se realizará de modo paulatino, se incorporó una disposición transitoria décimo segunda a la Ley Orgánica 3/2007, de 22 de marzo, siendo ésta:

1. Las empresas que tengan una plantilla mínima, de acuerdo con los siguientes plazos de aplicación paulatina:

• • Desde el pasado 7 de marzo de 2020, ya deben tener aprobado los planes de igualdad las empresas que tengan entre 151 y 250 personas trabajadoras.
  • A partir del 7 de marzo de 2021, deberán tener aprobado los planes de igualdad las empresas que tengan entre 101 y 150 personas trabajadoras.
  • A partir del 7 de marzo de 2022, deberán tener aprobado los planes de igualdad las empresas que tengan entre 50 y 100 personas trabajadoras

Además, resultará obligatoria la aprobación e implantación de un Plan de igualdad, para todas aquellas entidades que:

2. La obligación se establezca a través del Convenio Colectivo de aplicación.

3. Cuando la autoridad laboral hubiera acordado en un procedimiento sancionador la sustitución de las sanciones accesorias por la elaboración y aplicación de dicho plan. 

El Real Decreto-ley 6/2019, de 1 de marzo, reguló importantes precisiones con respecto al contenido del diagnóstico y el plan de igualdad.  De un lado, las materias que deben obligatoriamente ser tratadas en el diagnóstico, siendo el contenido mínimo del plan de igualdad, por otro lado, los requisitos formales para la implantación del mismo. En cuanto a la obligatoriedad de confección de la Auditoría Salarial, todas las empresas que elaboren un plan de igualdad deben incluir en el mismo una auditoría retributiva, con los requisitos de contenido exigidos por el legislador.

Como entidad especializada en el asesoramiento en materia de cumplimiento normativo, nos encontramos a su entera disposición ante cualquier duda que pueda surgirle. 

 

Publicado el 25 de Febrero de 2022
Por María González
Responsable del Departamento Jurídico

Tras la publicación, por parte del Incibe, del documento “Políticas de seguridad para la Pyme: gestión de Recursos Humanos”, desde GRUPO DATA, nos hacemos eco de las siguientes medidas de seguridad y recomendaciones, orientadas a la gestión del personal y seguridad de la información. 

Para implementar correctamente las medidas de seguridad, en base a lo establecido en el art. 24 y 32 del RGPD, es importante asegurarse que todo el personal tiene conocimiento real sobre sus derechos, deberes y responsabilidades en relación a la información (y datos de carácter personal) que trata con motivo del desempeño de sus funciones, así como de las posibles sanciones que se les podrían imponer en virtud de una actuación negligente.

De este modo, a título ejemplificativo, a continuación, detallamos algunas recomendaciones a implementar en la gestión del personal:

1. Reflejar los aspectos más importantes, relativos a la seguridad de la información en el contrato de trabajo.

El empresario, con el departamento de recursos humanos, establecerán qué aspectos relevantes en relación a la seguridad de la información deben ser reflejados en el contrato de trabajo. Se considerarán todas las responsabilidades y derechos legales en lo relacionado con la propiedad intelectual o con datos de carácter personal.

2. Firmar acuerdos de confidencialidad con la empresa.

Los empleados y colaboradores firmarán acuerdos relativos a la confidencialidad de la información de la empresa, que contendrán la siguiente información: 

• Partes intervinientes;
• qué información tendrá carácter confidencial;
• compromisos por ambas partes;
• posibles sanciones y legislación aplicable.

3. Verificar las referencias de los candidatos y verificar los datos del CV. 

En ciertas ocasiones (sobre todo para puestos de especial criticidad o con acceso a información muy confidencial) detallaremos las comprobaciones a realizar antes de incorporar a algún candidato a la plantilla. Será necesario determinar las referencias que han de ser revisadas y qué datos del currículum tienen que verificarse. Además, indicaremos qué puestos concretos necesitarán una acreditación especial de estar libre de antecedentes penales.

4. Acciones de formación y concienciación en ciberseguridad y seguridad de la información.

Estableceremos las actividades oportunas para mantener a tu plantilla concienciada y formada en todo momento en aspectos relativos a la seguridad de la información. 

5. Establecer políticas para la imposición de sanciones en caso de actuarse negligentemente en relación con la seguridad de la información.

Elaboraremos un procedimiento disciplinario formal que recoja las sanciones a aplicar en aquellos casos en los que se haya producido una negligencia en relación con la seguridad de la información (fuga o pérdida de datos confidenciales o sensibles, actuaciones intencionadas, ataques a la reputación en redes sociales, permitir ataques de terceros como infecciones por malware, etc.). Este procedimiento debe ser notificado a los empleados y estar accesible en todo momento.

6. Informar sobre cómo deberán cumplir el deber de confidencialidad una vez finalizada la relación laboral y revocar los permisos de acceso. 

Para evitar fugas de información es importante comunicar a los empleados las responsabilidades y obligaciones de seguridad y confidencialidad que deberán cumplir una vez finalizada la relación contractual.

7. Otorgar permisos de acceso a la información en función de los roles desempeñados por cada uno.

Si queremos garantizar que cada empleado solo acceda a la información oportuna, deberemos darle de alta en los sistemas de acuerdo con las políticas de control de acceso (físico y lógico) correspondientes. 

En este punto, entre otras, realizaremos las siguientes acciones:

• Entregar las tarjetas de acceso físico; n asignar las cuentas de correo electrónico;
• conceder los permisos de acceso a servicios, aplicativos y recursos compartidos; 
• asignar el puesto de trabajo, los dispositivos y equipos.

8. Asegurarse de que los empleados aceptan y comprendes las políticas y cláusulas de seguridad de la información.

Del mismo modo que en su incorporación damos los accesos y permisos oportunos a los nuevos empleados para que puedan realizar su trabajo, al finalizar la relación contractual los revocaremos:

• Recogiendo las tarjetas de acceso y los dispositivos entregados;
• eliminando sus cuentas de correo;
• eliminando sus permisos de acceso a sistemas y aplicativos. 

Desde GRUPO DATA, como consultora especializada en materia de protección de datos y seguridad de la información, nos encontramos a su disposición para la implementación de las soluciones y medidas de seguridad en base a la situación de su compañía.

 

 

Publicado el 28 de Enero de 2022
Por María González
Responsable del Departamento Jurídico

Como consecuencia del escenario actual, a consecuencia de la pandemia por la COVID19, una de las medidas adoptadas por parte de algunas CCAA consiste en la solicitud del Certificado COVID19 para la entrada en determinados establecimientos (ligados a ocio nocturno, restauración, espacios cerrados, etc.). En cualquier caso, se trata de medidas destinadas a la contención y control de la situación, y limitadas a fin anterior. 

El Certificado COVID Digital UE es un documento con lectura QR, que facilita la libre circulación segura de la ciudadanía dentro de la Unión Europea durante la pandemia del COVID-19.

En este sentido, son numerosas las Comunidades autónomas que han optado por la aprobación de esta medida que debe ser tratada con especial atención, con motivo de la incidencia en materia de protección de datos.

A continuación, detallamos algunas de las imposiciones que, de forma general, podemos resaltar y que todas aquellas entidades que deban solicitar el Certificado COVID19, a sus clientes, deberán tener en consideración.

• Los responsables de los establecimientos, eventos, actividades y lugares deberán garantizar el respeto a la normativa vigente en materia de protección de datos.
• Cumplir con el deber de información a los titulares de los datos.
• El acceso resulta limitado a la verificación, con la imposibilidad de conservar los datos en sistemas. 
• Medidas implantadas a la hora de solicitar el Certificado COVID19, garantizando la máxima protección del titular.
• Instrucciones sobre el tratamiento de datos, al personal de la entidad que solicite el Certificado COVID19 al cliente. 

Como todos sabemos, nos encontramos en una situación excepcional, en un contexto epidemiológico, en el que se adoptan medidas en ponderación de derechos fundamentales, como es la protección de datos. Pero en ningún caso, esta situación puede derivar en una vulneración de los mismos, es decir, se trata de adoptar medidas, pero bajo unas garantías y premisas.

 

 

Publicado el 30 de Diciembre de 2021
Por María González
Responsable del Departamento Jurídico

Con motivo de estas fechas navideñas, marcadas por las cenas de empresas, eventos con niños, compras a través de internet… debemos tener en cuenta la normativa de protección de datos, para que nuestra única preocupación sea disfrutar de esta festividad. En este sentido, a lo largo de este post, resolveremos algunas dudas, que resultan frecuentes. 

¿Envío de felicitaciones de navidad y límites de la normativa en protección de datos?

En primer lugar, debemos hacer distinción entre el envío de tarjetas o felicitaciones navideñas en el ámbito personal y profesional. En este sentido, la normativa vigente de protección de datos, no impide que los ciudadanos remitan estas tarjetas dentro de su ámbito personal, destinadas a amigos o familiares.

Cuestión distinta resulta el envío de felicitaciones corporativas, siendo exigible el cumplimiento de los requisitos que establece la normativa. En este supuesto, las organizaciones deben tener una justificación para realizarlo con base en algún tipo de legitimización en la que, dependiendo del caso, podría enmarcarse el interés legítimo. Además, si en estas comunicaciones se realiza algún tipo de oferta o publicidad, se deberá cumplir con las obligaciones que marca la legislación para este tipo de comunicaciones comerciales.

 

¿Vas a comprar en una tienda online?

Es una realidad afirmar que el comercio electrónico es uno de los canales principales de compraventa, y más en estas fechas navideñas, marcadas por el consumo.

En este sentido, en el informe de Ayden se sitúa al canal online como el segundo canal donde más ventas se generan. Además, también es interesante observar que las transacciones efectuadas a través de las aplicaciones y redes sociales suponen ya el 14% y 10%. De hecho, el comercio electrónico seguirá en forma de cara la próxima campaña de Navidad: según las predicciones que hace la compañía estadounidense de software Salesforce, las ventas online en todo el mundo se alzarán un 7%.

A lo largo del proceso de compra online, el consumidor puede ver comprometida su seguridad o privacidad, además de vulnerados sus derechos. En este sentido, a continuación, enumeramos una serie de consejos, facilitados por la autoridad de control, la Agencia Española de Protección de Datos.

 

Comprobar información legal del comercio: 

La información de la tienda online, requerida por distintas normas legales, suele incluirse en páginas con denominaciones como “Aviso legal”, “Términos de uso” o “Política de privacidad”. Éstas suelen ser accesibles mediante enlaces ubicados en los extremos superior o inferior de la página principal del comercio online. 

La información legal es fundamental porque: 

• Ante un posible conflicto permite saber contra quién debemos reclamar.
• Determina las leyes aplicables y las autoridades de control competentes.
• Permite conocer los derechos que asisten a los usuarios. Es obligatorio que el comercio online proporcione, entre otros, estos datos
  • Nombre completo de la entidad (persona física, sociedad, fundación, etc.)
  • Número de identificación fiscal (NIF, NIE o CIF)
  • Datos de su inscripción en el registro mercantil
  • Dirección postal

Si recaban datos personales, deberán informar, entre otros datos: 

• Quién es el responsable del tratamiento de datos, la finalidad del mismo y la legitimación para tratarlos.
• El plazo de conservación de los datos, y la posibilidad de ejercitar los derechos de protección de datos.

¿Una de tus compras será un juguete conectado a Internet? 

En este sentido, a la hora de adquirir juguetes conectados a Internet, debemos tener en cuenta que estos intercambian información con fuentes externas y que, además requieren la instalación de una aplicación en el dispositivo móvil. La consecuencia es que, este tipo de juguetes, son capaces de recopilar información sobre el menor que lo usa, implicando que debamos prestar especial atención a qué pueden hacer, qué información recogen, etc., para poder proteger la privacidad del menor. 

En el caso de que te hayas decidido a regalar un juguete de estas características, a continuación, indicamos una serie de recomendaciones de la autoridad de control:

Su uso suele requerir la descarga de una aplicación en un dispositivo móvil. Pero, ¿cómo funcionan? Cuando captan imágenes o voces las envían a la aplicación, que a su vez las transmite a través de internet. Cuando se procesa la información, la contestación -ya sea una frase pregrabada o información obtenida en la Red- viaja de vuelta al juguete, que ofrece al usuario una respuesta.

Para completar este proceso, el juguete cuenta con herramientas como micrófono, cámara, altavoces o pantalla, que recopilan información sobre los usuarios -en su mayor parte menores- lo que puede suponer un riesgo para su privacidad y la protección de sus datos.

También es aconsejable saber qué datos se transmiten por internet, con qué objetivo y su destino final, así como los datos que se reciben de la Red y de dónde proceden. Es igualmente importante plantearse cómo se protegen los datos recogidos, el lugar donde van a almacenarse y si se van a enviar a terceros.

 

¿Captar imágenes de la obra de navidad del Colegio?

Decenas de padres, madres y familiares acuden estos días a colegios para presenciar funciones, conciertos u otro tipo actos en los que los más pequeños de la casa son los protagonistas y, como es lógico, aprovechan las cámaras de sus teléfonos móviles para conseguir un recuerdo de este momento en forma de foto o vídeo.

No existe ningún problema en tomar estas imágenes siempre y cuando se realice un uso personal y privado de las mismas. Si se difunden fuera de este ámbito familiar o de amistad como en redes sociales o páginas de Internet de acceso público, se podrían estar vulnerando los derechos de otros niños que aparecen, ya que para publicarlas se necesita el consentimiento de sus padres y tutores o de los propios menores si tienen más de 14 años.

 

¿Y las de la cena de empresa?

Del mismo modo, es habitual tomar fotos y vídeos de la cena de navidad de la empresa y que terminen en alguna red social. Debemos tener en cuenta que lo que hoy nos parece muy gracioso, puede afectarnos de manera negativa en un futuro. Piénsalo dos veces dos veces antes de compartir este contenido.

Si eres el autor de la imagen, recuerda que necesitas el permiso de las personas que aparecen para subirlas a Internet y que si lo haces sin ese consentimiento podrías estar cometiendo una infracción que, incluso, y dependiendo de las circunstancias, podría llegar a ser delito.

Desde GRUPO DATA, como especialistas en materia de protección de datos y seguridad de la información, le animamos a que, si desea obtener mayor información o asesoramiento, no dude en contactar con nosotros.

 

 

Publicado el 26 de Noviembre de 2021
Por María González
Responsable del Departamento Jurídico

La formación del personal en cumplimiento de la Responsabilidad Proactiva y la protección de datos «desde el diseño”. 

En base al principio de «información y formación», el Responsable del tratamiento, para garantizar el cumplimiento en materia de protección de datos, debe habilitar y fomentar la formación e información del personal implicado en el tratamiento de los mismos, involucrando a los empleados en la denominada «cultura de protección de datos».

De igual modo, la autoridad de control, la Agencia Española de Protección de Datos, ha puesto de manifiesto que la utilización de medidas como la formación del personal define de forma explícita la intención y diligencia del responsable del tratamiento.

Además, debemos resaltar el riesgo que entraña el desconocimiento de la normativa en materia de protección de datos, pudiendo derivar en la causa de algún incumplimiento y una posterior sanción a la entidad. Las empresas se encuentran ante una obligación explícita de la propia normativa de protección de datos y de cualquier protocolo de seguridad de la información ya que, si el empleado no sabe, no puede cumplir con las obligaciones impuestas.

En este sentido, las entidades Responsables del tratamiento, debe adoptar un plan de formación y concienciación destinado a los usuarios intervinientes en el tratamiento de datos.

Desde GRUPO DATA, como entidad especializada en el asesoramiento en materia de protección de datos y seguridad de la información, os facilitamos una propuesta de plan formativo, destinado a la implantación de la cultura de protección de datos, siendo este:

1 Introducción materia de Protección de Datos
1.1 Antecedentes Legislativos y marco normativo actual
1.2 Novedades del Reglamento Europeo de Protección de Datos

1.3 Novedades Ley Orgánica 3/2018, de 5 de diciembre.

2 Figuras esenciales en materia de Protección de Datos
2.1 El Responsable del tratamiento
2.2 Funciones y obligaciones del Responsable del tratamiento
2.3 Corresponsables en el tratamiento de los datos
2.4 El encargado del tratamiento y su relación contractual con el responsable
2.5 Contenido mínimo de un contrato del art. 28 del RGPD

3 El registro de las actividades del tratamiento (RAT)
4.1 Contenido mínimo el RAT (art. 30 del RGPD)
4.3 Tratamiento de categorías especiales de datos personales
4.4 Situaciones específicas en el tratamiento de los datos personales

4 Deber de información a los interesados
4.1 El principio de transparencia
4.2 La información por capas
4.3 El consentimiento en el tratamiento de los datos personales

6 Ejercicio de los derechos de los interesados y las brechas de seguridad
6.1 Los derechos de los interesados en materia de Protección de Datos
6.2 Las brechas de seguridad

7 La Evaluación de Impacto y el Delegado de Protección de Datos
7.1 La Evaluación de Impacto (EIPD)
7.2 El Delegado de Protección de Datos (DPD)

8 Caso práctico: implantación en materia de Protección de Datos

 

Contenido actividad formativa. 

 

El plan de formación debe estar fundamentado en los tratamientos de datos de carácter personal identificados y, por lo tanto, debe prever acciones formativas específicas dirigidas a los usuarios intervinientes en el tratamiento de datos de carácter personal. 

 

Al mismo tiempo y con una periodicidad anual; deberán documentar el grado de cumplimiento del plan de formación. 

 

¿Quiénes deben nombrar un DPO? 

 

La acción formativa; en materia de protección de datos, se ha de dirigir para cumplir con los siguientes objetivos: 

• Fomentar la formación e información del personal implicado en el tratamiento de los mismos, involucrando a los empleados en la denominada «cultura de protección de datos».
• Dotar a los usuarios; de los conocimientos prácticos que les permitan el conocimiento e importancia del tratamiento de datos de carácter personal.
• Sensibilizar a empleados del Responsable del tratamiento, sobre la importancia y la necesidad del correcto cumplimiento de las obligaciones de cumplimiento; impuestas por la normativa vigente.

 

Publicado el 27 de Octubre de 2021
Por María González
Responsable del Departamento Jurídico

Esta figura constituye uno de los elementos claves del RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones, si bien la responsabilidad sobre este cumplimiento recae en el responsable o encargado del tratamiento. 

 

La introducción de la figura del Delegado con el nuevo RGPD 

 

Desde mayo del 2018 resulta de obligado cumplimiento el nuevo Reglamento Europeo de Protección de datos (en adelante RGPD), con el que nace una nueva figura denominada Delegado de Protección de datos (en adelante DPO). Esta figura tiene entre sus funciones principales asesorar, supervisar, e informar de las obligaciones y políticas en materia de protección de datos. También tiene como función, actuar como intermediario entre las autoridades de control en esta materia (Agencia Española de Protección de Datos, en adelante AEPD o agencias autonómicas) y el propio Responsable del Tratamiento.

 

¿Quiénes deben nombrar un DPO? 

 

El RGPD, en su artículo 37.1, recoge los supuestos en que es obligatorio la designación de un Delegado de Protección de Datos, y que son los siguientes:

• El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial. 
• Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala. 
• Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10. 

La Ley de protección de datos española (en adelante LOPDGDD), aclara y establece taxativamente, en su articulado 34, los supuestos en lo que resulta obligatorio contar con un Delegado de Protección de datos. 

 

¿Cuáles son las funciones de esta figura? 

 

Establecido lo anterior y como concreción del papel y función del DPO, deben tenerse en cuenta las siguientes consideraciones: 

1. 1. El DPO responde y debe reportar sobre su trabajo (informes, recomendaciones, etc.), directamente al Responsable de tratamiento (en adelante RT) u órgano directivo de la organización; de esta manera, éste se convierte en el interlocutor válido del DPO (art. 36.4 LOPDGDD). Dicho artículo establece que el DPO en el caso de documentar una vulneración en materia de protección de datos, procederá a la comunicación inmediata a los órganos de administración y dirección del Responsable o del Encargado. A su vez. Tanto el RT como el ET deben respaldar al DPO en el ejercicio de sus funciones (Art. 38.2).
       
   2. El DPO debe disponer de medios y recursos adecuados y suficientes para el desarrollo de sus funciones; por lo tanto, el RT o ET deben, en el momento de su designación concretar dichos recursos a disposición del DPO (Art. 38.2 del RGPD).
       
   3. Tanto en el caso de DPO interno como externo, se garantizará por parte del RT o ET la independencia y autonomía del DPO en el desarrollo de sus funciones. Para garantizar dicha autonomía e independencia, al margen de que no exista conflicto de intereses a la hora de su nombramiento, el DPO no podrá ser sancionado ni removido de su puesto por el desarrollo de sus funciones, salvo dolo o negligencia por su parte (Art. 38.3 RGPD).
       
   4. Por su parte, el DPO está obligado a mantener el secreto y la confidencialidad respecto a aquella información o datos a los que acceda con motivo del desarrollo de sus funciones (Art 38.5).

 

• Según el art. 36.1 de la LOPDGDD, el DPO, en el desarrollo de sus funciones como tal, podrá inspeccionar procedimientos relativos a la protección de datos, acceder a datos personales y procesos de tratamiento, no pudiendo oponerse el RT o ET a dicho acceso.
  En este apartado cabría resaltar que sería muy conveniente y deseable que el RT o ET contaran con el asesoramiento previo del DPO a la hora de establecer dichos procesos o procedimientos; por tanto, nuestra recomendación es que la figura del DPO en las entidades sea incluida en las reuniones de la dirección estratégica de la misma, de tal forma que, la materia de protección de datos sea tenida en cuenta desde el diseño de dicha estrategia (“privacy by design”). De esta manera se garantizará el cumplimiento del art. 38.1 del RGPD: garantizar la “participación adecuada y en tiempo”, en todo lo concerniente a la Protección de Datos. 

 

 

• En caso de que un interesado (titular de los datos) pretendiera presentar una reclamación, ejercer algún derecho en materia de protección de datos, así como realizar cualquier consulta relativa a la misma, ante el RT o ET, podrá dirigirse al DPO (art. 37.1 de la LOPDGDD).
  De hecho, los interesados podrán ponerse directamente en contacto con el DPO, para cualquier cuestión relativa a la Protección de Datos (Art. 38.4 RGPD).

 

 

• En el supuesto de que dicha reclamación del interesado se dirigiera directamente a la autoridad de control, ésta la trasladará al DPO, para que le dé respuesta en el plazo de 1 mes al interesado, así como a la autoridad de control (art. 37.2 de la LOPDGDD). 

 

 

De manera ilustrativa, a continuación, contemplamos la regulación establecida en el RGPD, en relación a las funciones del DPO, en concreto en su art 39: 

A) En primer lugar, debemos indicar que lo que el RGPD establece en este artículo como Funciones del DPO es un catálogo de mínimos, es decir, se le pueden asignar más funciones por parte del RT o del ET. 

B) En cuanto a sus funciones concretas. 

• • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en protección de Datos. De esta función se puede inferir que es competencia del DPO la formación de dichos empleados.
  • Supervisar el cumplimiento de lo dispuesto en la normativa de  protección de datos y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
  • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
  • Cooperar con la autoridad de control.
  • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

 

Publicado el 27 de Septiembre de 2021
Por María González
Responsable del Departamento Jurídico

¿Cómo afecta la protección de datos a la actividad del personal del ámbito sanitario? 

«quedan prohibidos el tratamiento de datos personales (…) y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.”

Al respecto, el apartado 2 del citado precepto, a la hora de establecer excepciones a dicha prohibición, concreta que: 

«el apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

 a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado.”

En relación a esta cuestión, la normativa estatal se ha pronunciado manteniendo y reforzando dicha prohibición, estableciendo que ni siquiera el consentimiento explícito del afectado habilitaría al tratamiento de estos datos considerados de categoría especial; concretamente, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales (en adelante LOPDGDD), en el artículo 9 contempla que: 

«1.  A los efectos del artículo 9.2.a) del Reglamento (UE) 2016/679, a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos (…)..”

La razón esgrimida para el mantenimiento y refuerzo de esta prohibición, según el mismo texto legal, es la de evitar situaciones discriminatorias, que pudieran ocasionarse por el tratamiento de estos datos de categoría especial. 

Sin perjuicio de lo anterior, dicho tratamiento no siempre estará prohibido y como no podría ser de otro modo, la propia LOPDGDD antes mencionada, contempla en el artículo 9.2 de la misma, excepciones que habilitan el tratamiento de esta tipología de datos relativos a la salud: 

«2. Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad (tratamiento por razones de interés público esencial, fines de medicina preventiva o laboral, así como por razón de interés público en el ámbito de la salud pública).”

«En particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte.”

 

¿Qué normas con rango de ley, en la actualidad, habilitan el tratamiento de datos de salud? 

En este sentido, la disposición adicional decimoséptima de la ley citada con anterioridad, relativa al tratamiento de datos de salud, especifica que normas con rango de ley amparan y legitiman el uso de esta categoría especial de datos, resaltando entre estas normas, en el supuesto del personal sanitario, las siguientes:

A) La Ley 14/1986, de 25 de abril, General de Sanidad.

C) La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

D) La Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud.

E) La Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones sanitarias.

G) La Ley 33/2011, de 4 de octubre, General de Salud Pública.

En el resto de apartados de esta disposición adicional, se contemplan los supuestos de leyes, referentes a cuestiones como PRL, sector seguro, etc.

Al margen de lo anterior, en el ámbito de la investigación biomédica, debemos resaltar que el consentimiento del titular de los datos si es considerado título habilitante para el tratamiento de los mismos, aunque para ello sea necesario el cumplimiento de ciertas particularidades. 

 

¿Qué supone la figura del Delegado de Protección de Datos en el ámbito sanitario? 

Entre las novedades más importantes que introduce el RGPD encontramos la obligatoriedad de designar un Delegado de Protección de Datos (en adelante DPD), en aquellos supuestos contemplados como tal en la norma. 

En sentido, en el ámbito sanitario, resulta obligada la designación del DPD, al tratar datos considerados de categoría especial, como es el dato de salud. Sin embargo, la propia LOPDGDD contempla la excepción a dicha obligatoriedad en el caso de tratarse de profesionales que ejerzan su actividad a título individual. 

La regulación completa y concreta de esta materia, la encontramos en el art. 35 del RGPD y en el art. 34.1 l) de la LOPDGDD. 

 

 

Particularidades de la Protección de Datos en el ámbito sanitario:

A) Las tarjetas identificativas de los trabajadores ¿Pueden incluir nombre, apellidos y DNI? 

En este caso, como en todo lo concerniente a la protección de datos, nos encontramos con la necesaria ponderación entre dos derechos protegibles: 

• El derecho a la intimidad o privado del empleado sanitario con respecto a sus datos de carácter personal. 
• El derecho a la información que asiste a los pacientes. 

Aunque no existe unanimidad a la hora de establecer un criterio único, parece que lo más acertado en la práctica es optar por la inclusión del nombre y apellidos, así como el cargo en la tarjeta identificativa, prevaleciendo el derecho a ser informado del paciente (art. 13 del RGPD), resultando base legitimadora suficiente para dicho tratamiento el art. 6.1 b) del RGPD (“relación contractual”).

B) Acceso y contenido del historial clínico: 

En primer lugar, con respecto al acceso por parte del propio paciente (titular de los datos), el contenido de la historia clínica abarca todo lo contemplado en la misma, incluido las anotaciones subjetivas del profesional implicado. Sin embargo, debemos señalar que, en base al art. 18.3 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, se reserva al profesional el derecho a oponerse a tal acceso ejercitado por el paciente en relación a las anotaciones subjetivas del informe clínico. 

En segundo lugar, en relación al acceso al historial clínico por parte de familiares, herederos o vinculados de hecho al paciente, resulta una cuestión controvertida máximo después de la publicación de la LOPDGDD. Así esta norma reconoce el derecho de estos sujetos mencionados con anterioridad a acceder, así como solicitar la supresión o rectificación de los datos relativos a sus familiares fallecidos. No obstante, dicho acceso se encuentra sometido al cumplimiento de ciertos requisitos: 

1. Que sea acreditada la condición de heredero, familiar o vinculado de hecho. 
2. Se justifique la necesidad de acceso a los datos contenidos en el historial clínico (finalidad). 
3. El titular de los datos no lo haya prohibido expresamente. 
4. Sean suprimidas las anotaciones subjetivas de profesionales contenidas en el historial clínico, así como datos que perjudiquen a terceros o que pertenezcan a la intimidad del paciente (art. 18. 4 de la Ley 41/2002). 

 

Publicado el 27 de Agosto de 2021
Por María González
Responsable del Departamento Jurídico

Con motivo de la publicación, por parte de la Agencia Española de Protección de Datos, de la Guía sobre protección de datos y relaciones laborales, a continuación, detallamos la incidencia de esta materia en la obligación de registro salarial de todas las entidades, profesionales y organizaciones. 

 

Desde el pasado día 14 de abril de 2021, todas las entidades, profesionales y organizaciones, que cuenten con al menos un trabajador por cuenta ajena, se encuentran obligadas a registrar el salario con el objetivo de verificar que existe igualdad de remuneración entre hombre y mujeres dentro de la empresa.

En relación con la protección de datos personales conviene tener en cuenta las siguientes circunstancias: 

1. Es una obligación legal, por lo que el empleador no requiere el consentimiento de las personas trabajadoras. 
2. El registro de salarios no justifica el tratamiento de datos personales y la norma que lo regula no es una base jurídica para ello, pues en dicho registro no ha de constar el salario de cada persona trabajadora, sino los «valores medios» de los salarios, los complementos salariales y las percepciones extrasalariales de la plantilla «desagregados por sexo y distribuidos por grupos profesionales, categorías profesionales o puestos de trabajo iguales o de igual valor». 
3. Es un registro donde deben figurar datos disociados y no datos personales, ni información que permita identificar a una persona.
4. No se contempla un derecho a la información, ni el ejercicio de derechos de acceso, rectificación, oposición y supresión, pues no se produce un tratamiento de datos personales.
5. En cuanto a la consulta del registro salarial, el art. 5.3 del Real Decreto 902/2020, señala que en las empresas que cuenten con representación legal de las personas trabajadoras el acceso al registro se facilitará a éstas a través de la citada representación, teniendo derecho a conocer el contenido íntegro del mismo.

El registro de salario regulado en el art. 28.2 ET no tiene porqué implicar el tratamiento de datos, no obstante, el dato disociado podría convertirse en dato personal respecto de aquellas categorías o grupos profesionales con un reducido número de personas trabajadoras.

Por todo lo expuesto con anterioridad, en materia de protección de datos, deben implantarse las siguientes medidas: 

• El registro debería contar con las medidas de seguridad basadas en el análisis de riesgos conforme al RGPD. 
• El empleador debería informar a las personas trabajadoras del tratamiento de datos personales y de su finalidad. 
• Los representantes de las personas trabajadoras estarían obligados a respetar la confidencialidad acerca de esa información. 

Como consecuencia de lo expuesto con anterioridad, la instamos a que opte por el asesoramiento adecuado a la hora de confeccionar el registro retributivo y ante cualquier duda que le surja, quedamos a su disposición.

 

 

Publicado el 26 de Julio de 2021
Por María González
Responsable del Departamento Jurídico

El contrato de confidencialidad y acceso a datos por cuenta de terceros (contrato de encargado de tratamiento) deben formalizarlo aquellas empresas o profesionales, con sus proveedores de servicios, cuando esta prestación de servicios requiera un acceso directo o indirecto a datos de carácter personal. Reglamento (UE) 2016/679, de 27 de abril, de protección de datos de carácter personal (en adelante RGPD), define este acuerdo como un “contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable”.

La normativa anterior, regulaba este acuerdo, en este caso, la LOPD 15/99 en su art. 12 exigía la formalización, destacando que no resultaba tan exigente con los prestadores de servicios como resulta la normativa vigente. 

En cuanto a la obligación de este contrato, se encuentra consagrada en el art. 28 del RGPD y el art. 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos de carácter personal y garantía de los derechos digitales (en adelante LOPDGDD). 

Por otro lado, en cuanto a los intervinientes en el acuerdo, el art. 4 del RGPD, define al Responsable del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”; mientras que el encargado del tratamiento resulta definido como “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.

En relación a las particularidades y contenido mínimo del acuerdo, a continuación, detallamos: 

• Es un documento que define las responsabilidades, vínculos y acuerdos de las partes. 
• No resultan válidos los acuerdos verbales, debiendo constar por escrito. 
• En cuanto al contenido, debe regular el objeto, duración, naturaleza y finalidad del tratamiento de datos que se encarga; tipo de datos personales tratados; categorías de interesados de los que el encargado tratará datos directa o indirectamente; obligaciones y derechos del responsable; particularidades de la subcontratación de servicios; las obligaciones del encargado. 

 

Por otro lado, el art. 28.1 del RGPD, establece la obligatoriedad del Responsable de “elegir únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado”

La LOPDGDD ha introducido una disposición transitoria quinta para que los contratos entre responsables y encargados se adapten en un plazo máximo de cuatro años –cuando sean indefinidos– o cuando se realice la primera prórroga.

Además, en relación a las consecuencias de no formalización del acuerdo de encargado de tratamiento, el art. 73 de la LOPDGDD califica el hecho como infracción grave, estableciendo que:

“j) La contratación … de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas…”

“k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito conforme el artículo 28.3 RGPD”

“l) La contratación por un encargado … de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.” 

De igual modo, tal y como deviene de lo establecido en el art. 74 de la LOPDGDD, el hecho conllevará la calificación de infracción muy grave en los siguientes supuestos:

“j) Que el encargado no comunique al responsable acerca de la posible infracción por una instrucción recibida de este de las disposiciones del RGPD…”

“k) El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento”

Como consecuencia de lo anterior, podemos determinar que el contrato de encargado del tratamiento, no solo da cumplimiento a la normativa vigente, sino que define las responsabilidades entre las partes y exige a los prestadores de servicios mayor diligencia y garantías. 

Desde GRUPO DATA, como consultoría especializada en materia de protección de datos, nos encontramos a su disposición para regular estas cuestiones y aclararle las dudas que le surjan.

 

 

Publicado el 6 de Marzo de 2021
Por María González
Responsable del Departamento Jurídico