Conclusiones de la Jornada sobre la nueva LOPDGDD del pasado día 31 de Enero en el R. e I. Colegio de Abogados de Zaragoza – Roberto L. Ferrer Serrano

De las cuestiones analizadas en la Jornada podemos concluir lo siguiente:

1. Privacidad e intimidad son dos conceptos jurídicos autónomos. Ver http://dej.rae.es/#/entry-id/E192150 y http://dej.rae.es/#/entry-id/E145530
2. La nueva LOPDGDD no establece criterios suficientes para determinar con exactitud el alcance de la expresión “intimidad” a que se refieren los artículos 87, 89 y 90 de la LOPDGDD.
3. La introducción del término “intimidad” en el articulado lleva a confusión, en el caso de que se pretendiese incluir las informaciones privadas, y en el caso de que se pretenda limitar a los conceptos meramente íntimos se trataría de una restricción injustificada de los derechos de protección de datos de los trabajadores.
4. En la mayoría de los casos podrá entenderse que “intimidad” se corresponde con un concepto ampliado que incluye informaciones meramente privadas que tendrá que analizarse en cada supuesto concreto.

Nos encontramos en nuestra opinión de una nueva muestra de cómo una redacción precipitada de una norma introduce mayor inseguridad jurídica que la que existía antes de su alumbramiento.

EL DELEGADO DE PROTECCIÓN DE DATOS (II) – Roberto L. Ferrer Serrano

Se encuentran obligadas al nombramiento de un DPO las empresas que realizan tratamiento de datos como actividad principal de organización, por tanto, debemos conocer los tipos de empresas que requieren contratarlo:

        A) Empresas que realizan un tratamiento relevante de datos

El Considerando 91 del Reglamento proporciona algunas orientaciones acerca del concepto de “relevante” pero no es posible dar un número preciso con respecto a la cantidad de datos tratados o al número de personas afectadas.

Según el Grupo de Trabajo para la privacidad de la Unión Europea se pueden tener en cuenta los siguientes factores para determinar si el tratamiento se realiza a gran escala:

  • El número de sujetos
  • El volumen de datos que se están procesando
  • La duración o permanencia de la actividad de procesamiento de datos
  • La extensión geográfica de la actividad de procesamiento

 

Ejemplos de procesamiento relevante:

  • procesamiento de datos de pacientes en el curso regular de los negocios por un hospital
  • procesamiento de datos de viaje de personas que utilizan el sistema de transporte público de una ciudad (por ejemplo, seguimiento a través de tarjetas de viaje)
  • procesamiento de datos geolocalización en tiempo real de los clientes de una cadena internacional de comida rápida para fines estadísticos por un procesador especializado
  • procesamiento de datos de clientes en el curso normal de los negocios por una compañía de seguros o un banco
  • procesamiento de datos personales para publicidad conductual mediante un motor de búsqueda
  • procesamiento de datos (contenido, tráfico, ubicación) por teléfono o proveedores de servicios de Internet

         B) Monitorización regular y sistemática de actividades personales

La noción de control periódico y sistemático de los datos no está definida en el Reglamento, aunque:

 

  1. El concepto de “control del comportamiento de los interesados” se menciona en el Considerando 24 e
  2. Incluye todas las formas de seguimiento y perfiles en Internet o realizados con fines de publicidad conductual

 

El Grupo de Trabajo interpreta ‘regular’ como:

  • Repetido a intervalos particulares durante un período determinado
  • Recurrentes o repetidos en horarios fijos
  • Constantemente o periódicamente

 

E interpreta “sistemático” como:

  • Propio de un sistema
  • Preparado, organizado o metódico
  • Realizado en el marco de un plan general de recogida de datos
  • Realizado como parte de una estrategia empresarial

         C) Empresas que tratan categorías especiales de datos y datos relacionados con las actividades delictivas

En este supuesto se encuentran los tratamientos de datos de salud, orientación sexual, creencias, ideología, etc. El Reglamento en su artículo 37 se refiere:

  1. al tratamiento de categorías especiales de datos de conformidad con el artículo 9 y
  2. a los datos personales relativos a las condenas penales y los delitos enunciados en el artículo 10.

        D) Autoridades u organismos públicos

Se engloban tanto autoridades nacionales, regionales y locales, como otros organismos de derecho público donde la presencia de un DPO puede ser necesaria para proporcionar una protección adicional a los interesados.

 

Como ejemplos encontramos:

  1. servicios de transporte público
  2. suministro de agua y energía
  3. infraestructuras viarias o
  4. los colegios profesionales

EL DELEGADO DE PROTECCIÓN DE DATOS (I) – Roberto L. Ferrer Serrano

El nombramiento del Delegado de protección de datos (DPO por sus siglas en inglés) es una obligación de las empresas, en cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Antes de realizar tratamientos de datos cuando exista un alto riesgo para los derechos y libertades de las personas físicas las empresas deberán:

  • Consultar a su Delegado de Protección de Datos (que estará dotado de inmunidad en sus funciones) y,
  • Realizar una evaluación del impacto de dichas operaciones

La función principal de esta figura consiste en participar en todas las cuestiones relativas a la protección de datos personales:

A) de forma adecuada y

B) en tiempo oportuno

Existen estimaciones que elevan entre 50000 a 75000 Delegados en la Unión Europea.

Supuestos de empresas afectadas

Se trata de empresas que tengan como actividad principal de organización el tratamiento de los datos y las actividades principales de un responsable del tratamiento se refieren a “actividades principales” y debemos tener en cuenta que:

a) Son las operaciones clave necesarias para alcanzar las metas de la organización de que se trate y

b) No deben interpretarse en el sentido de excluir las actividades en las que el tratamiento de datos forma parte inseparable de la actividad del responsable del tratamiento o del procesador. Pensemos, por ejemplo, en un hospital cuya actividad principal es proporcionar atención médica y necesita procesar datos de salud con el fin de dar el debido cuidado médico a los pacientes. Por lo tanto, el procesamiento de estos datos médicos requerirá la figura del DPO.

 

 

FUNCIONES DEL DELEGADO DE PROTECCIÓN DE DATOS – Roberto L. Ferrer Serrano

Tras centrarnos en las actividades y en los tipos de empresas que requerían contratar un Delegado de Protección de datos (DPO), vamos a tratar las funciones que desarrolla el DPO y que las empresas respaldarán facilitando:   

  • recursos necesarios para el desempeño de las mismas
  • acceso a los datos personales y a las operaciones de tratamiento
  • mantenimiento de conocimientos especializados
  • garantizarán que no reciba ninguna instrucción en el desempeño de sus funciones y no será destituido ni sancionado por el responsable o el encargado
  • solo rendirá cuentas directamente al más alto nivel jerárquico de la empresa

Entre las funciones figuran:

a) informar y asesorar al responsable o al encargado del tratamiento y a sus empleados de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros

b) supervisar el cumplimiento de lo dispuesto en las anteriores normas y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes

c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35 del Reglamento

d) cooperar con la autoridad de control (En España la Agencia Española de Protección de Datos)

e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36 del Reglamento, y realizar consultas

¿QUIÉN PUEDE DESARROLLAR LAS FUNCIONES DE DELEGADO DE PROTECCIÓN DE DATOS? – Roberto L. Ferrer Serrano

Ésta es una de las dudas que se nos plantean puesto que se trata de una función que puede ser asumida por:  

  1. trabajadores de la empresa o  
  2. por profesionales especializados mediante un régimen de contratación de arrendamiento de servicios (como un Abogado), pudiéndose optar por equipos interdisciplinares en los que se combinen diferentes habilidades individuales que, trabajando en equipo, puedan servir más eficientemente a la organización.  

En cualquier caso, el artículo 37, apartado 5, del Reglamento Europeo dispone que el DPO será designado atendiendo a:

  • sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho
  • la práctica en materia de protección de datos y
  • a su capacidad para desempeñar las funciones indicadas en el artículo 39 del Reglamento

Se deberán atender los siguientes aspectos:

A) Nivel de experiencia

Es una cuestión que debe ser proporcional a la complejidad y cantidad de datos que una organización procesa.

Y existe una diferencia en función de si la organización transfiere sistemáticamente datos personales fuera de la Unión Europea o si son ocasionales

B) Cualidades profesionales

  • Experiencia en leyes y prácticas nacionales y europeas de protección de datos, y conocimiento del Reglamento Europeo de Protección de Datos y del sector empresarial
  • Comprensión de las operaciones de procesamiento de datos realizadas, de los sistemas de información y de las necesidades de seguridad de los datos

 

C) Capacidad para realizar sus tareas

La capacidad para cumplir las tareas se refiere tanto a sus cualidades y conocimientos personales, como a su puesto dentro de la organización.

Este sitio web utiliza cookies propias y de terceros para analizar el tráfico de la red, así como poder personalizar la información que ofrece a sus usuarios o promover sus servicios. Seguir navegando en este sitio implica aceptar su uso. Información para cambiar esta configuración y obtener más detalles sobre nuestra política de cookies en el botón "leer más"

LEER MÁS ACEPTAR
Aviso de cookies