El comercio electrónico y la nueva LOPDGDD (desarrollo del ... · 3.3.1. El consentimiento de los...

de 34

El comercio electrónico y la nueva LOPDGDD (desarrollo del RGPD en nuestro

ordenamiento jurídico).

Autor: Albert Conde Olano

Cargo: Co-presidente de la sección de tecnologías de la información y la comunicación del ICAT.

de 34

1. Introducción. 3

2. Comercio electrónico y cumplimiento de la LOPD. Análisis de las obligaciones

existentes hasta la entrada en aplicación del RGPD y de la LOPGDD. 3

3. Entrada en aplicación del RGPD y de la LOPDGDD. Qué ha cambiado para los

Comercios Electrónicos y para sus usuarios. 4

3.1. El punto de partida. La privacidad desde el diseño y la privacidad por defecto. 4

3.2. Los principios que establece el RGPD en materia de protección de datos (art. 5

RGPD). 4

3.3. Base legal para el tratamiento de datos de carácter personal (art. 6 RGPD) para

los Comercios Electrónicos. La licitud en el tratamiento. 6

3.3.1. El consentimiento de los menores de edad. Especial atención al comercio electrónico. 7

3.4. Las categorías especiales de datos (art. 9 RGPD y LOPGDD). 8

3.5. El deber de información por parte de los comercios electrónicos (art. 11 A 14

RGPD). 9

3.6. Los nuevos derechos: acceso, rectificación, supresión (derecho al olvido),

limitación en el tratamiento, portabilidad y oposición (arts. 15 a 23 RGPD y 12 a 18

LOPDGDD). 10

3.6.1. Disposiciones generales aplicables al ejercicio de los derechos A.R.S.O.L.P. (art. 12

LOPGDD). 10

3.6.2. El derecho de acceso (art. 15 RGPD y art. 13 LOPDGDD). 12

3.6.3. El derecho de rectificación (art. 16 RGPD y art. 14 LOPDGDD). 13

3.6.4. El derecho de supresión (art. 17 RGPD y art. 15 LOPDGDD). 13

3.6.5. El derecho de limitación en el tratamiento (art. 18 RGPD y art. 16 LOPDGDD). 14

3.6.6. El derecho de portabilidad (art. 20 RGPD y art. 17 LOPDGDD). 15

3.6.7. El derecho de oposición (art. 21 RGPD y art. 18 LOPDGDD). 15

3.7. Tratamientos concretos (arts. 19 a 27 LOPDGDD). 16

3.9 Elección y contrato con los encargados de tratamiento. 18

3.10. La notificación de violaciones de seguridad (art. 33 y 34 RGPD). 19

3.11. Herramientas que deberán aplicar todos los responsables y encargados de

tratamiento. 21

3.11.1. El delegado de protección de datos. 21

3.12. Transferencia internacional de datos. 31

3.13. Régimen sancionador. 33

4. Estado de cumplimiento. 33

de 34

1. Introducción.

El pasado 25.mayo.2018 entró en aplicación el Reglamento (UE) 2016/679 del Parlamento

Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo

que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y

completar sus disposiciones.

Posteriormente se publica la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de

Datos Personales y garantía de los derechos digitales, que permite al legislador estatal desarrollar

determinados aspectos del Reglamento, con entrada en vigor desde el 7.Diciembre.2018.

2. Comercio electrónico y cumplimiento de la LOPD. Análisis de las obligaciones existentes hasta la entrada en aplicación del RGPD y de la LOPGDD.

Las obligaciones existentes hasta el momento de la entrada en vigor del RGPD para todos aquellos

responsables de tratamiento (a partir de este momento RT) y encargados de tratamiento (a partir

de este momento ET) venían recogidas en los siguientes cuerpos normativos:

- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en

adelante, LOPD).

- El Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de

desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal (en

adelante, RLOPD). Es la norma de desarrollo de la LOPD, amplía las prescripciones de la LOPD e

incluye previsiones específicas en materia de seguridad.

Si resumimos, a groso modo, las principales obligaciones a las cuales se tenían que enfrentar

serían las siguientes:

- Registro de ficheros ante la A.E.P.D. (clientes, proveedores, usuarios web...) Esta obligación

desaparece con el nuevo RGPD.

- Tener un documento de seguridad actualizado, donde se recogían las medidas de

seguridad técnicas y organizativas que debían cumplir para garantizar la protección,

confidencialidad, integridad y disponibilidad de los recursos afectados por las disposiciones

de la LOPD y del RLOPD.

- Firmar compromisos de confidencialidad con los trabajadores ( si es que se tenían).

- Firmar los compromisos de tratamiento con los diferentes encargados de tratamiento de

datos de carácter personal.

http://noticias.juridicas.com/base_datos/Privado/574082-regl-2016-679-ue-de-27-abr-proteccion-de-las-personas-fisicas-en-lo-que.html


de 34

- Incluir cláusulas informativas y recoger el consentimiento para el tratamiento de datos de

carácter personal.

- Establecer políticas de privacidad en los sitios web y articular consentimiento en la

recogida de datos de carácter personal a través del sitio web.

- Atender Derechos ARCO (acceso, rectificación, cancelación y oposición).

3. Entrada en aplicación del RGPD y de la LOPDGDD. Qué ha cambiado para los Comercios Electrónicos y para sus usuarios. 3.1. El punto de partida. La privacidad desde el diseño y la privacidad por defecto.

El RGPD apuesta por un enfoque más proactivo, ello quiere decir que los RT y ET deberán analizar

qué tipo de datos personales tratarán en el ejercicio de su actividad, y qué peligros puede

entrañar este tratamiento de datos, y basándonos en ello, adoptar las medidas técnicas y

organizativas adecuadas, a fin de poder establecer las medidas de seguridad que consideren más

adecuadas y proporcionales, para evitar que terceros no autorizados puedan tener acceso a los

datos de carácter personal, o sean modificados o eliminados.

De esta manera el responsable de tratamiento y el encargado de tratamiento planificará con

anterioridad a tratar los datos de carácter personal, las medidas de seguridad más adecuadas que

implantará (privacidad desde el diseño), y menos invasivas para los datos que trata, es decir, que

tratará únicamente los datos imprescindibles para la finalidad para la que se han recogido

(privacidad por defecto).

La finalidad última del RGPD es reducir al máximo los riesgos que todo tratamiento conlleva, no la

eliminación del riesgo. Éste siempre existirá cuando tratamos datos de carácter personal.

3.2. Los principios que establece el RGPD en materia de protección de datos (art. 5 RGPD).

Los principios en materia de protección de datos deben aplicarse a toda la información relativa a

una persona física identificada o identificable. Dichos principios son:

a) Licitud, lealtad, transparencia.

Se introduce el principio de transparencia: la información otorgada por los responsables de

tratamiento y encargados de tratamiento debe ser concisa, fácilmente accesible y fácil de

entender. Recogidos con fines determinados, explícitos y legítimos, y no serán tratados

ulteriormente de manera incompatible con dichos fines (limitación de la finalidad).

de 34

El principio de transparencia obliga tanto al RT como al ET a que toda información y comunicación

relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender.

A ello hemos de sumar los nuevos derechos de los interesados, en nuestro caso usuarios y

clientes, siendo los mismos:

a. derecho de acceso,

b. rectificación,

c. supresión (derecho al olvido),

d. oposición,

e. limitación del tratamiento,

f. portabilidad sobre sus datos personales.

b) Adecuados, pertinentes, y limitados

Los datos de carácter personal que se vayan a tratar han de ser adecuados, pertinentes, y

limitados a lo necesario en relación con los fines para los que son tratados (minimización de

datos)

c) Exactos

Los datos de carácter personal han de ser exactos y si fuera necesario actualizados. Se añade por

tanto la obligación de actuar de oficio si los datos son incorrectos o innecesarios, no sólo a la

espera de que el usuario ejercite los derechos de rectificación, cancelación.

El RT no incurrirá en responsabilidad ante la A.E.P.D. de la inexactitud de los datos, siempre que se

hayan adoptado las medidas razonables para que se supriman o rectifiquen sin dilación, la

inexactitud de los datos personales cuando:

a. Hubiesen sido obtenidos por el responsable directamente del afectado.

b. Hubiesen sido obtenidos por el responsable de un mediador o intermediario en caso de

que las normas aplicables al sector de actividad al que pertenezca el responsable del

tratamiento establecieran la posibilidad de intervención de un intermediario o mediador

que recoja en nombre propio los datos de los afectados para su transmisión al responsable.

El mediador o intermediario asumirá las responsabilidades que pudieran derivarse en el

supuesto de comunicación al responsable de datos que no se correspondan con los

facilitados por el afectado.

c. Fuesen sometidos a tratamiento por el responsable por haberlos recibido de otro

responsable en virtud del ejercicio por el afectado del derecho a la portabilidad conforme

al artículo 20 del Reglamento (UE) 2016/679 y lo previsto en esta ley orgánica.

http://noticias.juridicas.com/base_datos/Privado/574082-regl-2016-679-ue-de-27-abr-proteccion-de-las-personas-fisicas-en-lo-que.html#I390

de 34

d. Fuesen obtenidos de un registro público por el responsable.

d) Limitados en el tiempo de conservación

Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo

del necesario para los fines del tratamiento. Cómo mínimo, se recomiendan los siguientes plazos

de conservación:

i. cuatro años en caso de mandato tributario,

ii. cinco años para la formulación, ejercicio o la defensa de reclamaciones, y

iii. seis años respecto los libros de contabilidad, facturas y

iv. diez años en aquello que afecte a la Ley 10/2010 y el RD 304/2014 de Prevención de

Blanqueo de Capitales y Financiación del Terrorismo.

e) Integridad y confidencialidad de los datos de carácter personal.

Los datos de carácter personal deben ser tratados de tal manera que se garantice una seguridad

adecuada mediante la aplicación de medidas de control apropiadas, por lo que se deben tratar los

datos de manera que se garantice su seguridad, y que los mismos sean confidenciales.

Será el responsable de tratamiento quien debe cumplir estos principios, y además debe ser capaz

de demostrarlo. Recae sobre el RT la carga probatoria.

3.3. Base legal para el tratamiento de datos de carácter personal (art. 6 RGPD) para los Comercios Electrónicos. La licitud en el tratamiento.

El artículo 6 del RGPD establece las diferentes bases que legitiman el tratamiento de datos

personales, y por tanto, establece cuando dichos tratamientos será lícitos.

Así pues, estaremos ante tratamientos lícitos cuando:

a) El tratamiento se base en el consentimiento previo otorgado por el propio interesesado (art.

6.1.a. RGPD.). En el caso concreto, en el formulario de recogida de datos de carácter personal de

los usuarios, previo a la celebración del contrato de prestación de servicio (ej. venta producto

fisico a través de sitio web), implantar una casilla de verificación no premarcada donde se solicite

el consentimiento.

b) El tratamiento sea necesario para a ejecución de un contrato en el que el interesado es parte o

para la aplicación a petición de este de medidas precontractuales (art. 6.1.b).

de 34

Asimismo, el art. 6 de la LOPGDD define que se entiende por consentimiento del

interesado/afectado:

Toda manifestación de voluntad libre, específica, informada e inequívoca por la que este

acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de

datos personales que le conciernen.

En todo caso, cuando se pretenda fundar el tratamiento de los datos en el consentimiento del

afectado para una pluralidad de finalidades será preciso que conste de manera específica e

inequívoca que dicho consentimiento se otorga para todas ellas.

Es importante señalar que no podrá supeditarse la ejecución del contrato a que el afectado

consienta el tratamiento de los datos personales para finalidades que no guarden relación con el

mantenimiento, desarrollo o control de la relación contractual.

3.3.1. El consentimiento de los menores de edad. Especial atención al comercio electrónico.

Si bien el artículo 8.1 párrafo segundo del RGPD, no consideraba lícito el tratamiento de

datos personales de un niño menor de 16 años en relación con la oferta directa a niños de

servicios de la sociedad de la información, salvo que los Estados miembros establecieran por

ley una edad inferior, el legislador estatal ha optado en su artículo 7 por establecer como

lícito el tratamiento de datos de carácter personal de los menores cuando estos sean mayor

de 14 años, en cualquiera de los casos.

Resumiendo, que el consentimiento para el tratamiento de datos de carácter personales,

podrá prestarse por el propio menor, cuando éste sea mayor de 14 años.

Pero cuidado: se exceptúan los supuestos en que la ley exija la asistencia de los titulares de

la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto

se recaba el consentimiento para el tratamiento. Por ende, cuidado con aquellos contratos

celebrados a distancia con menores de edad, a través de un sitio web, porqué quién debiere

prestar su consentimiento será los titulares de de la patria potestad o tutela, y en caso

contrario, dicho tratamiento puede ser considerado como ilícito, aunque el menor tenga 14

años. Recordemos que estos contratos pueden ser impugnados por los titulares de la patria

potestad o los tutores, declarándose nulos y será como si nunca hubiera existido.

Recomendaciones:

de 34

En nuestros sitios web establecer en los formularios de contacto varias casillas de verificación no

premarcadas en las cuales se obligue al usuario a:

- informar sobre si el usuario es mayor de edad (obligando a poner una fecha de

nacimiento, por ejemplo)

- obligar a aceptar la política de privacidad y protección de datos, con un link que redirija a

la página web donde se recoge la misma.

3.4. Las categorías especiales de datos (art. 9 RGPD y LOPGDD).

Nos encontramos ante categorías especiales de datos cuando tratamos:

a. Datos que revelen el origen étnico o racial.

b. Datos que revelen las opiniones políticas, las convicciones religiosas o filosóficas.

c. Datos que revelen la afiliación sindical.

d. Datos que revelen el tratamiento de datos genéticos.

e. Recabamos datos biométricos dirigidos a identificar de manera unívoca a una persona

física.

f. Recabamos datos relativos a la salud .

g. Recabamos datos relativos a la vida sexual o la orientación sexual de una persona física.

Por norma general se prohibe el tratamiento de dichos datos cuando la finalidad última

establecida por el RT y el ET sea única y exclusivamente la de identificar ideología, afiliación

sindical, religión, orientación sexual, creencias u origen racial o étnico.

Para el resto de casos, en los que existe un tratamiento de datos de categoría especial deberemos

recabar el consentimiento expreso del interesado/afectado, salvo que esos datos se hayan hecho

manifiestamente públicos por parte del interesado.

En cualquier caso, por norma general en los contratos celebrados a distancia, el tratamiento de

dichas categorías especiales no debería efectuarse. Siempre que pensamos en comercio

electrónico, por norma general, tenemos en mente la compra-venta de productos físicos o

digitales a través de un sitio web o bien la prestación de servicios que no impliquen el tratamiento

de dichas categorías de datos recogidas en el art. 9 RGPD y LOPDGDD.

de 34

3.5. El deber de información por parte de los comercios electrónicos (art. 11 A 14 RGPD).

La información mínima que deberá poner a disposición del usuario el RT y el ET será la siguiente

(art. 13. RGPD y 11 LOPDGDD):

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del

tratamiento;

d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses

legítimos del responsable o de un tercero;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un tercer país u

organización internacional y la existencia o ausencia de una decisión de adecuación de la

Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo

49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los

medios para obtener una copia de estas o al hecho de que se hayan prestado.

g) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible,

los criterios utilizados para determinar este plazo;

h) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos

personales relativos al interesado, y su rectificación o supresión, o la limitación de su

tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los

datos;

i) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9,

apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier

momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento

previo a su retirada;

j) el derecho a presentar una reclamación ante una autoridad de control;

de 34

k) si la comunicación de datos personales es un requisito legal o contractual, o un requisito

necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos

personales y está informado de las posibles consecuencias de que no facilitar tales datos;

l) la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se

refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa

sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho

tratamiento para el interesado.

Recomendaciones

Para ello, en el sitio web deberemos crear una página con el título política de privacidad, y dentro

de la misma establecer toda la información reseñada anteriormente. Igualmente, en la captación

de la información en los formularios de compra, volvemos a reseñar la obligación de establecer

una casilla no premarcada en la que se introduzca un link que derive a la política de privacidad.

3.6. Los nuevos derechos: acceso, rectificación, supresión (derecho al olvido), limitación en el tratamiento, portabilidad y oposición (arts. 15 a 23 RGPD y 12 a 18 LOPDGDD).

3.6.1. Disposiciones generales aplicables al ejercicio de los derechos A.R.S.O.L.P. (art. 12 LOPGDD).

El presente artículo recoge una serie de disposiciones aplicables a todos los derechos, y que no

venían reguladas en el RGPD, entre ellos:

- Pueden ejercerse directamente por el interesado o por medio de representante legal o

voluntario.

- Obligación del RT de informar al afectado sobre los medios a su disposición para ejercer los

derechos que le corresponden. Los medios deberán ser fácilmente accesibles para el afectado.

El ejercicio del derecho no podrá ser denegado por el solo motivo de optar el afectado por otro

medio.

- El ET podrá tramitar, por cuenta del RT, las solicitudes de ejercicio formuladas por los afectados

de sus derechos si así se estableciere en el contrato o acto jurídico que les vincule.

- Es el RT quien ha de demostrar que ha respondido a la solicitud del ejercicio de los derechos

formulados, ello implica guardar todas las peticiones de ejercicio de derechos formulados por

los interesados.

de 34

- Cuando las leyes aplicables a determinados tratamientos establezcan un régimen especial que

afecte al ejercicio de los derechos previstos en el Capítulo III del Reglamento (UE) 2016/679, se

estará a lo dispuesto en aquellas.

- Los titulares de la patria potestad (progenitores o tutores) podrán ejercitar en nombre y

representación de los menores de catorce años los derechos de acceso, rectificación,

cancelación, oposición o cualesquiera otros que pudieran corresponderles en el contexto de la

presente ley orgánica.

El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado sin

dilación indebida y a más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no

fuera a atenderlas.

En atención a la complejidad de la petición o de la multitud de peticiones se podrá prorrogar un

mes más, siempre comunicando al interesado dentro del plazo del mes dicha prórroga.

Si incumple el RT con su obligación, deberá dar información de su no actuación y de la posibilidad

de reclamar ante la autoridad de control y de ejercitar acciones judiciales.

La información derivada del ejercicio de derechos se realizará con gratuidad, salvo en las

solicitudes manifiestamente infundadas, excesivas o repetitivas, en que, podrá cobrarse un canon,

o negarse a actuar.

Además, y una novedad que ha traído consigo la LOPDGDD el artículo 37 de la LOPDGDD habilita a

los afectados, con carácter previo a la presentación de una reclamación contra aquéllos ante la

Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de

protección de datos, a dirigirse al delegado de protección de datos de la entidad contra la que se

reclame, obligando al delegado de protección de datos a comunicar al afectado su decisión en el

plazo de dos meses a contar desde la recepción de la reclamación.

Así mismo, se habilita a la autoridad de control, en nuestro caso la Agencia Española de Protección

de Datos (a partir de este momento A.E.P.D.), a remitir la reclamación interpuesta por el afectado

ante esta al delegado de protección de datos, otorgándole el plazo de un mes para responder.

Transcurrido dicho plazo, en caso de que el delegado de protección de datos no conteste a dicha

reclamación, la A.E.P.D. continuará con el procedimiento por posible vulneración de la normativa

de protección de datos.


de 34

3.6.2. El derecho de acceso (art. 15 RGPD y art. 13 LOPDGDD).

Los interesados deben tener derecho a acceder a los datos personales recogidos que le

conciernan y a ejercer dicho derecho con facilidad, con el fin de conocer y verificar la licitud del

tratamiento.

Deben poder obtener información sobre:

a. Fines del tratamiento

b. Categorías de datos que se traten

c. Destinatarios de los datos, en particular terceros países o organizaciones

internacionales.

d. De ser posible, el plazo de conservación de dichos datos, o criterios para determinar

dicho plazo.

e. Existencia del derecho a solicitar rectificación o supresión, limitación u oposición al

tratamiento.

f. Derecho a presentar una reclamación frente la autoridad de control.

g. Si los datos no se han obtenido del interesado, cualquier información sobre su

origen.

h. La existencia de decisiones automatizadas

La forma de hacer efectivo el derecho:

-Facilitando copia de los datos al interesado (visualización en pantalla,, escrito, copia o

fotocopia remitida por correo certificado o no, fax, correo electrónico...).

- Pudiendo percibir el RT un cánon por copias adicionales por costes administrativos

para el caso de acceso repetitivo.

- Si la solicitud se realiza en formato electrónico, se le dará la misma en formato electrónico

de uso común, a no ser que manifieste otra cosa.

Ahora bien, la nueva LOPDGDD establece una serie de criterios a tener en cuenta para

determinados supuestos, véase:

- Se permite al RT solicitar al interesado, antes de contestar a la petición de derecho de acceso,

aquellos datos a los que quiera tener acceso, en el caso de que disponga de múltiples del afectado.

- Si el RT tiene un sistema remoto, permanente, directo y seguro de acceso a los datos personales

del interesado a los que éste puede acceder, se tendrá por otorgado el derecho de acceso.

Ejemplo: una página web con un apartado del usuario, dónde se éste pueda acceder a comprobar

que datos se están tratando.

de 34

En caso de que no estén en dicha base de datos algún dato solicitado por el interesado, este podrá

ejercitar dicho derecho sobre dicho datos y el RT deberá dar respuesta sobre el mismo.

- En caso de que el interesado solicite al RT el acceso al mismo dato de carácter personal en un

periodo inferior 6 meses, salvo que exista causa legítima, el RT podrá:

a) cobrar un cánon razonable en función de los costes administrativos afrontados para

facilitar la información o la comunicación o realizar la actuación solicitada,

b) negarse a actuar respecto de la solicitud.

- En caso de que el interesado solicite que se le comunique un dato de carácter personal por un

medio diferente al que el RT haya establecido, los costes excesivos del mismo podrán repercutirse

al interesado. Ejemplo: Si respondemos a un correo electrónico la petición de acceso y el

interesado solicita el envío de una carta o correo electrónico, dicho coste deberá ser asumido por

el interesado.

3.6.3. El derecho de rectificación (art. 16 RGPD y art. 14 LOPDGDD).

El acceso de rectificación tiene dos finalidades, recordemos:

- corregir datos personales inexactos.

- completar datos personales incompletos.

La nueva LOPD establece que el interesado deberá indicar en su solicitud a qué datos se refiere y

la corrección que haya de realizarse. Deberá acompañar, cuando sea preciso, la documentación

justificativa de la inexactitud o carácter incompleto de los datos objeto de tratamiento.

3.6.4. El derecho de supresión (art. 17 RGPD y art. 15 LOPDGDD).

Es el derecho del interesado a obtener la supresión de los datos personales que le conciernan, si

se da alguna de estas circunstancias:

a. los datos personales ya no son necesarios en relación con los fines para los que se

obtuvieron.

b. el interesado retire el consentimiento en que se base el tratamiento

c. el interesado se oponga al tratamiento

d. los datos personales hayan sido tratados ilícitamente

e. los datos personales deban suprimirse por obligación legal

de 34

f. se hayan obtenido los datos en relación con la oferta de servicios de sociedad de la

información dirigida a niños.

Si el RT ha hecho públicos los datos, deberá comunicación al resto de responsables tratamiento de

la supresión de cualquier enlace, copia o réplicas de tales datos.

En todo caso, se denegará el ejercicio del derecho al olvido de los datos si el tratamiento es

necesario para:

• el ejercicio del derecho a la libertad de expresión e información

• cumplimiento de una obligación legal o misión en interés público

• razones de interés público en el ámbito de la salud

• fines de archivo, investigación, fines estadísticos

• formulación, ejercicio o defensa de reclamaciones

Como se ha visto, se puede denegar el derecho a la supresión, pero siempre es obligatorio

informar al interesado/afectado del motivo de la denegación.

La nueva regulación establecida en la LOPGDD dispone que cuando la supresión derive del

ejercicio del derecho de oposición con arreglo al artículo 21.2 del Reglamento (UE) 2016/679, el

responsable podrá conservar los datos identificativos del afectado necesarios con el fin de impedir

tratamientos futuros para fines de mercadotecnia directa.

3.6.5. El derecho de limitación en el tratamiento (art. 18 RGPD y art. 16 LOPDGDD).

Supone el derecho del interesado de obtener del responsable de tratamiento la limitación de los

datos cuando se cumpla alguna de las siguientes condiciones:

a. el interesado impugne la exactitud de los datos personales durante un plazo que permita al

responsable verificar la exactitud de los mismos. (tras ejercitar el derecho de rectificación)

b. el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y

solicite en su lugar la limitación de su uso. (ej: un cliente de un banco que cancela una cuenta

corriente, pero que habilita el uso de sus datos para recibir ofertas comerciales)

c. el interesado se haya opuesto al tratamiento, mientras se verifica si los motivos legítimos del

responsable prevalecen sobre los del interesado. (tras ejercitar el derecho de oposición) En

este caso tb, cuando se ejercita el derecho al olvido frente a un buscador.

d. el responsable ya no necesite los datos para los fines del tratamiento, pero el interesado los

necesite para la formulación, ejercicio, o la defensa de reclamación.

http://noticias.juridicas.com/base_datos/Privado/574082-regl-2016-679-ue-de-27-abr-proteccion-de-las-personas-fisicas-en-lo-que.html#I399

de 34

Se trata estos casos como una suspensión cautelar tras el ejercicio de dichos derechos.

La LOPGDD establece que el hecho de que el tratamiento de los datos personales esté limitado

debe constar claramente en los sistemas de información del responsable.

3.6.6. El derecho de portabilidad (art. 20 RGPD y art. 17 LOPDGDD).

Debe permitirse asimismo que los interesados que hubieran facilitado datos personales que les

conciernan a un responsable del tratamiento los reciban en un formato estructurado, de uso

común, de lectura mecánica e interoperable, y los transmitan a otro responsable del

tratamiento.

Se prevén aparentes limitaciones a la portabilidad, que deben analizarse como:

• es un derecho que se entiende sin perjuicio del derecho al olvido, la portabilidad no supone la

automática supresión de los datos

• únicamente cabe cuando el tratamiento se base en consentimiento o contrato.

• únicamente cabe cuando el tratamiento se efectúe por medios automatizados.

3.6.7. El derecho de oposición (art. 21 RGPD y art. 18 LOPDGDD).

El interesado puede solicitar que no se lleve a cabo el tratamiento de sus datos personales o se

cese en su tratamiento, siempre que exista causa justificada.

El RT dejará de tratar sus datos personales salvo sí:

• el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el

responsable de tratamiento o por un tercero, siempre que sobre dichos intereses no

prevalezcan los intereses o derechos y libertades fundamentales del interesado.

• o para la formulación, ejercicio y defensa de reclamaciones.

• el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o

en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Esto se da en el

caso de que los datos sean tratados con fines de investigación científica o histórica o fines

estadísticos de conformidad.

• En este caso se invierte la carga de la prueba, será el responsable quien deberá estimar este

derecho, salvo que invoque razones justificadas.

• También puede el interesado oponerse a ser objeto de una decisión basada únicamente en el

tratamiento automatizado, como la denegación automática de una solicitud de crédito en

línea o los servicios de contratación en red en los que no medie intervención humana alguna,

de 34

incluida la elaboración de perfiles (consistente en cualquier forma de tratamiento de los datos

personales que evalúe aspectos personales relativos a una persona física, en particular para

analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación

económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento,

la situación o los movimientos del interesado), que produzca efectos jurídicos sobre él o le

afecte significativamente de modo similar. (Art. 22 RGPD).

3.7. Tratamientos concretos (arts. 19 a 27 LOPDGDD).

La LOPGDD establece una serie de tratamientos que serán lícitos si se dan determinadas

condiciones, entre estos encontramos:

a. El tratamiento de datos de contacto, empresarios individuales y profesiones liberales (art.

19 LOPDGDD).

b. El tratamiento de datos de sistemas de información crediticia (art. 20 LOPGDD).

c. Los tratamientos relacionados con la realización de determinadas operaciones mercantiles

(art. 21 LOPGDD).

d. Los tratamientos con fines de videovigilancia (art. 22 LOPGDD).

e. Sistemas de exclusión publicitaria (art. 23 LOPGDD).

f. Sistemas de información de denuncias internas (art. 24 LOPDGDD).

g. Tratamiento de datos en el ámbito de la función estadística pública (art. 25 LOPDGDD).

h. Tratamiento de datos con fines de archivo en interés público por parte de las

Administraciones Públicas (art. 26 LOPDGDD).

i. Tratamiento de datos relativos a infracciones y sanciones administrativas (art. 27

LOPDGDD).

De todo estos tratamientos, el que afecta directamente a los contratos electrónicos es el

establecido en el art. 23 LOPGDD, es decir, los sistemas de exclusión publicitaria.

En este sentido, en el caso de que un interesado manifieste a un RT o a un ET su voluntad de que

sus datos no sean tratados para remisión de comunicaciones comerciales, el RT o el ET deberá

informarle de los sistemas de exclusión publicitaria existentes, pudiendo remitirse a la

información publicada por la autoridad de control competente. Es por ello, que si un usuario nos

solicita que no se le envié publicidad comercial expresamente (por ejercitar el derecho de

oposición a dicho tratamiento en concreto) deberemos informar de la existencia de la Lista

Robinson, gestionado por la Asociación de Economía Digital (a partir de este momento

ADIGITAL), y sería recomendable remitirles el link de la propia A.E.P.D. sobre sistemas de

exclusión publicitaria: https://www.A.E.P.D..es/areas/publicidad/index.html

https://www.aepd.es/areas/publicidad/index.html

de 34

3.8. Obligaciones generales del responsable de tratamiento y del encargado de tratamiento (art. 25 a 31 RGPD y 28 a 32 LOPDGDD).

Tanto el RGPD como la LOPDGDD no establece medidas concretas que deberán adoptar los RT y

los ET para cumplir con la normativa en materia de protección de datos. Lo que si establece es la

siguiente máxima:

El responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas. Dichas medidas se revisarán y actualizarán cuando sea necesario.

Por tal de dar unas líneas o bases mínimas de actuación por parte de los RT y ET, entre otras que debieran aplicar encontramos:

* Disponer de un procedimiento para el ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación en el tratamiento y portabilidad.

* Disponer de un procedimiento de notificación de incidencias a la A.E.P.D. y a los interesados, en caso necesario.

* Interponer la pertinente denuncia ante las autoridades y cuerpos de seguridad.

* Establecer un mecanismo de información al interesado en caso de perdida de datos de categoría especial.

* Disponer de dispositivos SAI para el caso de fallo en el suministro eléctrico.

* Efectuar semanalmente copias periódicas de respaldo de los datos.

* Comprobación semestralmente de la fiabilidad de las copias periódicas.

* Reconstrucción de datos a partir de la última copia. Grabación manual en su caso, si existe documentación que lo permita. Mínimo una copia semanal.

* Inventario de soportes, de tal manera que se identifique de forma sencilla los datos en él contenidos, siempre velando por la anonimización de los datos.

* Almacenar en dos ubicaciones diferentes el disco duro externo, pen, nube... en que se guardan las copias de seguridad.

* La segmentación de la red: que solo pueda acceder a los datos de carácter personal determinados departamentos.

* Procedimiento de asignación y distribución de contraseñas en los dispositivos de los usuarios autorizados.

de 34

* Cambio de contraseñas mínimo cada año. Obligación de que la contraseña disponga de mayusculas, minúsculas, números y signos de puntuación, así como un mínimo de 6 caracteres, aunque se recomiendan contraseñas de 8 caracteres.

* Seudonomización. Se recomienda asignar una numeración que impida la identificación directa del dato de la persona que se va a tratar.

* Utilizar software propietario con las debidas licencias o bien software libre. En ambos casos actualizar a la última versión operativa disponible.

* Utilizar sistemas operativos actualizados a la última versión disponible.

* Disponer de un antivirus, y este debe estar actualizado.

* Disponer de una red vpn para la conexión a Internet.

* Limitar el uso de aplicaciones no necesarias para el uso o tratamiento.

* Concesión de permisos de acceso solo por personal autorizado a las zonas donde se encuentren dispositivos de almacenamiento de datos de carácter personal.

* Comprobación semestralmente de la fiabilidad de las copias periódicas.

* Reconstrucción de datos a partir de la última copia. Grabación manual en su caso, si existe documentación que lo permita.

* Control de accesos a zonas de almacenamiento de soportes no automatizados que contengan datos de carácter personal mediante la restricción de acceso por usuarios de tratamiento.

* Establecimiento de medidas de protección que impidan el acceso directo a soportes no automatizados que contengan datos de carácter persona (armarios con llaves solo a disposición de determinados usuarios).

* Establecer un mecanismo de información al interesado en caso de perdida de datos de categoría especial.

* Disponer de contrato con el ET que habilite a este a efectuar el tratamiento. En todo caso, estas medidas no son excluyentes de otras que se pudieran aplicar.

3.9 Elección y contrato con los encargados de tratamiento. El encargado de tratamiento lo define el Art. 4 del RGPD como: la persona física o jurídica,

autoridad pública, servicio u otro organismo que trate datos personales por cuenta del

responsable del tratamiento.

de 34

Además viene regulada dicha figura en el Art. 28 del RGPD.

El RT únicamente escogerá un encargado de tratamiento que ofrezca garantías suficientes para

aplicar medidas técnicas y organizativas que garanticen el cumplimiento del RGPD y garantice la

protección de derechos del interesado.

Para que el ET pueda recurrir a otro encargado (subcontrate), únicamente podrá hacerlo con

autorización previa del RT por escrito.

El tratamiento por el encargado se regirá por un contrato por escrito que establecerá:

objeto y duración del contrato

naturaleza y fines del tratamiento

tipos de datos personales

categorías de los interesados

obligación de seguir instrucciones del responsable salvo excepción legal

garantías de confidencialidad de su personal

medidas de seguridad

medidas si se prevé su subencargo: disponer de autorización previa, por escrito,

específica o general.

compromiso de colaborar con el responsable para la satisfacción ed derechos de los

ciudadanos

destino de los datos cuando finalice relación; devolver o suprimir, salvo que el derecho

de la UE obligue a conservarlos.

Puesta a disposición del responsable toda la información necesaria para demostrar el

cumplimiento de las obligaciones establecidas en el art. 28, así como para permitir y

contribuir a la realización de auditorías, incluidas inspecciones, por parte del

responsable o de otro auditor autorizado por dicho responsable.

Debe mediar también contrato entre encargado y subencargado.

3.10. La notificación de violaciones de seguridad (art. 33 y 34 RGPD).

El art. 33 y 34 del RGPD establece la obligación de establecer un procedimiento para notificar las

quiebras de seguridad a la Autoridad de Control y a los interesados.

¿Qué es una quiebra de seguridad? Cualquier incidente que provoque la destrucción, pérdida,

modificación ilícita, comunicación o acceso no autorizado a los datos personales, por ejemplo:

pérdida de un ordenador portátil con datos personales, de un pen, envío de un e-mail a un tercero

no autorizado con datos personales, borrado de datos personales…

de 34

Notificación a la A.E.P.D.

Se deberá notificar a la A.E.P.D. sin dilación indebida, y en el plazo máximo de 72 horas desde

que se haya tenido constancia de la misma. Excepción: a menos que sea improbable que

constituya un riesgo para los derechos o libertades de las personas físicas.

Si no se notifica dentro del plazo máximo de 72 horas, se deberá indicar el motivo de la dilación.

Dentro del mismo plazo, notificará el ET las posibles violaciones de seguridad.

La notificación contemplará como mínimo:

a) La naturaleza de la violación (por ejemplo; robo de un ordenador, borrado de datos por

entrada de virus...), y cuando sea posible las categorías y el número aproximado de

interesados afectados, y las categorías y el número aproximado de registros de datos

personales afectados; (nombres, apellidos, dnis...), (clientes, contactos, proveedores,

trabajadores...)

b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de

otro punto de contacto en el que pueda obtenerse más información;

c) describir las posibles consecuencias de la violación de la seguridad de los datos

personales;

d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para

poner remedio a la violación de la seguridad de los datos personales ( por ejemplo:

recuperación de datos personales a través de las copias de seguridad) y para revertir

posibles efectos negativos (contratación de un seguro en materia de protección de datos

que indemnice los daños morales, físicos o materiales que se hayan producido)

Todo ello deberá estar documentado y a la disposición de la A.E.P.D..

Notificación al interesado

Si la violación de seguridad entraña un alto riesgo para el afectado se deberá notificar al propio

interesado esta violación de seguridad. ( por ejemplo, si roban un ordenador sin contraseña y se

puede acceder a datos personales los afectados, incluso a copia de documentación de los mismos

como pudieran ser documentos identificativos, números de tarjetas de crédito... es obvio que

existe un riesgo alto de robo, usurpación de identidad etc...)

Exención de la obligación de notificar al interesado:

- cuando el riesgo no sea alto

- los datos sean ininteligibles mediante cifrado u otra técnica

- responsable de tratamiento ha tomado medidas ulteriores que desvirtúen el alto riesgo

para derechos y libertades del interesado

de 34

- suponga un esfuerzo desproporcionado, optándose en este caso por una comunicación

pública o medida semejante

Plazo de comunicación: sin dilación indebida

En la comunicación, además de describir la naturaleza de la violación de seguridad, deberán

incluirse recomendaciones para que la persona física afectada mitigue los potenciales efectos

adversos: por ejemplo, que interponga la correspondiente denuncia, que bloquee sus tarjetas.

3.11. Herramientas que deberán aplicar todos los responsables y encargados de tratamiento.

Las principales herramientas que todo RT y ET deberá cumplir, vienen establecidas por el propio

RGDP y LOPDGDD. En todo caso, en primer lugar y antes de definir las mismas, los RT y ET deberán

valorar la necesidad de designar un delegado de protección de datos (DPD).

3.11.1. El delegado de protección de datos.

Un delegado de protección de datos es la persona con conocimientos especializados en protección

de datos personales que controla el cumplimiento de la normativa de protección de datos.

Según el RGPD únicamente será obligatoria su designación cuando (artículos 37 a 39 del RGPD):

- El tratamiento lo realiza una autoridad u organismo público. (los tribunales que actúan en

el ejercicio de su función judicial NO)

- Cuando las actividades consisten en operaciones de tratamiento que requieren el

seguimiento regular y sistemático de los interesados a gran escala. Por ejemplo,

elaboración de perfiles para marketing digital en el que se ven afectados más de 1000

personas.

- Cuando las actividades consisten en el tratamiento a gran escala de categorías especiales

de datos (ideología u opiniones políticas, afiliación sindical, religión u opiniones

religiosas, creencias o creencias filosóficas, origen étnico o racial, datos relativos a salud,

vida sexual u orientación sexual, datos de violencia de género y malos tratos, datos

biométricos, datos genéticos que proporcionan una información única sobre la fisiología o

la salud del identificado obtenidas del análisis de una muestra biológica, datos

solicitados para fines policiales sin consentimiento de las personas afectadas, datos

relativos a condenas y delitos penales.)

-

No obstante ello, el RGPD deja abierta la posibilidad de que la normativa interna de los Estados

Miembros de la Unión Europea establezcan la obligatoriedad de designar un DPO cuando se den

otras circunstancias, por lo que se deberá estar a la normativa interna de nuestro país.

de 34

Es por ello que, según lo dispuesto en el arts. 34.d de la LOPGDD será obligatorio la designación

del DPD cuando:

<< Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala

perfiles de los usuarios del servicio>> .

Problema: ¿qué se entiende por gran escala? Es un concepto jurídico indeterminado, y por ahora

la A.E.P.D. nos remite a las directrices del Grupo de Trabajo 29 que establece en sus directrices

248 sobre evaluación de impacto de protección de datos se han de tener en cuenta los siguientes

factores:

· El número de sujetos afectados, ya sea como número específico o como proporción de

un conjunto de población;

· El volumen de datos y / o el rango de diferentes tipos de datos que se están tratando;

· La duración o permanencia de la actividad de tratamiento de datos;

· La extensión geográfica del tratamiento.

Por otra parte, en el Considerando 91 RGPD se habla ya de operaciones de tratamiento a gran

escala:

que persiguen tratar una cantidad considerable de datos personales a nivel regional,

nacional o supranacional y que podrían afectar a un gran número de interesados y

entrañen probablemente un alto riesgo, por ejemplo, debido a su sensibilidad, cuando, en

función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva

tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo

para los derechos y libertades de los interesados, en particular cuando estas operaciones

hace más difícil para los interesados el ejercicio de sus derechos.

Por ende, y para curarnos en salud, si nos encontramos ante tratamiento efectuados por razón

del comercio electrónico, recomendamos que se designe un delegado de protección de datos,

aunque se deberá estar al criterio señalado anteriormente.

Tomada la decisión de disponer de los servicios de un delegado de protección de datos deberemos

tener en cuenta que:

Los RT y los ET deben comunicar a la A.E.P.D. o a las autoridades autonómicas en el plazo de 10

días las designaciones, nombramientos y ceses de los delegados de protección de datos. Las

de 34

autoridades de control mantendrán un listado actualizado de los mismos (art. 34 LOPDGDD). En el

marco de servicios de comercio electrónico, la notificación se efectuará ante la A.E.P.D.

En cuanto a la cualificación de dichos DPD, uno de los criterios establecidos será la existencia de

mecanismo voluntarios de certificación que tendrán particularmente en cuenta la obtención de

una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica

en materia de protección de datos, aunque no será el único criterio (art. 35 LOPGDD).

Las obligaciones de este delegado de protección de datos son las siguientes (art. 37 a 38 RGDP y

36 a 37 LOPDGDD)

a) actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia

Española de Protección de Datos y las autoridades autonómicas de protección de datos.

b) inspeccionará los procedimientos relacionados con el objeto de la presente ley orgánica y

emitir recomendaciones en el ámbito de sus competencias.

c) No podrá ser removido ni sancionado por el responsable o el encargado por desempeñar

sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio, cuando se

trate de una persona física integrada en la organización del responsable o encargado del

tratamiento.

d) Se garantizará la independencia del delegado de protección de datos dentro de la

organización, debiendo evitarse cualquier conflicto de intereses.

e) En el ejercicio de sus funciones el delegado de protección de datos tendrá acceso a los datos

personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el

encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto,

incluyendo el previsto en el artículo 5 de esta ley orgánica. Cuando el delegado de protección

de datos aprecie la existencia de una vulneración relevante en materia de protección de datos

la documentará y la comunicará inmediatamente a los órganos de administración y dirección

del responsable o el encargado del tratamiento.

Entramos entonces a evaluar cada una de las herramientas que establece el RGPD para la

evaluación de los riesgos:

3.11.2. Herramientas1.

1 Información extraída de la Guía práctica de análisis de riesgos para el tratamiento de datos personales y de

la guía práctica para las evaluaciones de impacto en la protección de datos personales, elaboradas por la

A.E.P.D.: https://www.aepd.es/guias/index.html

https://www.aepd.es/guias/index.html

de 34

EL RGPD establece TRES HERRAMIENTAS para realizar el tratamiento de los riesgos

anteriormente identificados en función del tipo de datos personales que se trata:

i. Análisis de riesgos y gestión de riesgos por defecto.

ii. Registro de actividad como responsables de tratamiento y como encargados de

tratamiento.

iii. Evaluación de impacto.

i. Análisis de riesgos y gestión de riesgos por defecto

Será la herramienta que se utilizará en actividades de tratamiento de baja exposición al riesgo.

a) ¿cómo hacer el análisis básico de riesgos?: Realizando un CICLO DE VIDA de los procesos de

tratamiento de datos, que contendrá estos DOS PASOS:

Paso 1: Análisis global de las actividades de tratamiento

En esta etapa lo que buscamos es analizar de forma genérica/global todas las actividades a las

que vamos a someter los datos de carácter personal. Dividimos estas actividades en las siguientes

fases:

- Captura de datos. El responsable de tratamiento ha de preguntarse qué técnica le permite

obtener los datos de carácter personal de los interesados, como por ejemplo, formularios en

papel o formularios web, realización de encuestas, redes sociales…

- Clasificación/Almacenamiento. Los RT deberán asignar categorías a los datos de carácter

personal para su posterior almacenamiento en sus sistemas o archivos. Por ejemplo:

clientes, proveedores, trabajadores…

- Uso/Tratamiento. Conjunto de operaciones realizadas sobre los datos personales o

conjuntos de datos personales, ya sea mediante uso de dispositivos electrónicos

(ordenadores, teléfonos móviles, tablets, etc) que denominaremos medios automatizados;

ya sea mediante procedimientos de datos manuales. Por ejemplo: utilizar los datos para

elaborar un contrato, para enviar publicidad, para emitir facturas…

- Cesión o transferencia de los datos a un tercero para su tratamiento. Traspaso o

comunicación de datos por parte del RT realizada a un tercero ya sea persona física o

jurídica. Ejemplos: enviar facturación al gestor/contable; informático externo al RT...

- Destrucción. Como última etapa en los procesos de tratamiento de los datos de carácter

personal, deberán utilizar mecanismos que impidan recuperar de los soportes de

almacenamiento los archivos o sistemas que contengan datos de carácter personal.

Ejemplo: eliminar los datos de carácter personal contenidos en un disco duro de manera que

sea imposible su recuperación.

de 34

Paso 2: Clasificación de los elementos involucrados en las actividades de tratamiento:

En esta etapa lo que buscamos es clasificar cada uno de los instrumentos que utilizamos para

efectuar las actividades de tratamiento explicadas anteriormente:

Actividades u operaciones. Por ejemplo, en la captura de datos: formulario en papel,

web… Por ejemplo en la destrucción: programa utilizado para eliminar definitivamente los

datos…

Datos: Identificar los datos de carácter personal que van a ser tratados. Ej. Nombre y

apellidos, domicilio, teléfono de contacto.

Intervinientes. Obligación de identificar las personas físicas o jurídicas que, de manera

individual o colectiva, están implicadas en el desarrollo de las actividades del tratamiento

de los datos de carácter personal. Por ejemplo: el responsable, el interesado, el encargado

de tratamiento…

Tecnología. Obligación de identificar los dispositivos/soportes/sistemas tecnológicos que

intervienen en el tratamiento de datos de carácter personal. Ej. Ordenadores personales,

tablets, teléfonos móviles, etc.

b) ¿cómo hacemos una gestión de riesgos por defecto?

Una vez realizado el ciclo de vida de los datos personales en los cuales hemos

establecido las actividades de tratamiento que se van a efectuar, y hemos identificado los datos a

tratar, las personas que van a intervenir, y las tecnologías que intervienen, hemos de

preguntarnos a qué riesgos nos enfrentamos. Para ello, y cuando estamos ante datos de carácter

personal de bajo nivel de protección como son los datos básicos identificativos, número de

cuenta...entre otros, debemos seguir los siguientes PASOS

Paso 1: Designamos las actividades de tratamiento.

Como hemos establecido en el ciclo de vida de tratamiento, una actividad de tratamiento sería en

la fase captura: recogida mediante formulario en formato papel de datos identificativos.

Paso 2: Identificamos los principales riesgos potenciales a la actividad de tratamiento:

Una vez hemos designado la actividad de tratamiento debemos pensar que riesgos pueden

afectar a la misma. Para ello, lo abordaremos desde las siguientes PERSPECTIVAS:

- La integridad de los datos personales: la integridad se refiere a que los datos que hemos

recogido de los interesados sean en todo momento los mismos a lo largo del tratamiento.

de 34

El riesgo asociado a la integridad, sería una modificación no consentida de los

datos de carácter personal.

A este riesgo le aplicamos dos medidas de protección/seguridad:

*Establecer perfiles de usuario y contraseña en los ordenadores, tablets...que

impidan el acceso no autorizado al contenido de datos de carácter personal

*Disponer de un antivirus actualizado.

- La disponibilidad de los datos personales: la disponibilidad se refiere a que en todo

momento el RT pueda acceder a los datos personales que tiene almacenados.

El riesgo asociado a la disponibilidad, sería una pérdida o borrado no

intencionado de datos de carácter personal.

A este riesgo le aplicamos dos medidas de protección/ seguridad:

*realizar de forma periódica copias de seguridad

*almacenar en dos ubicaciones diferentes el disco duro externo, pen, nube... en

que se guardan las copias de seguridad.

- La confidencialidad de los datos personales: la confidencialidad se refiere a que terceros no

autorizados accedan a los datos de carácter personal de que dispone el RT

El riesgo asociado a la confidencialidad, sería un acceso no autorizado a datos de

carácter personal por un tercero, haya publicación de estos datos o no.

A este riesgo le aplicamos dos medidas de seguridad/protección:

*de nuevo el establecimiento de perfiles y contraseñas

*la segmentación de la red: por ejemplo, que el departamento de publicidad no

pueda acceder a los datos de facturación de los clientes.

- Garantizar los Derechos de los interesados en el tratamiento de datos de carácter personal:

nos referimos, a que los RT han de establecer procedimientos que aseguren el ejercicio de

los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad (más

adelante profundizaremos en estos conceptos)

El riesgo asociado al ejercicio de estos derechos por parte de los interesados sería

una ausencia de procedimiento para ejercitar estos derechos.

A este riesgo le aplicamos las siguientes medidas de seguridad/protección:

*Establecer un procedimiento para recibir y gestionar las peticiones por parte de

los interesados del ejercicio de derechos.

de 34

- Garantizar los principios relativos al tratamiento de los datos personales: licitud, lealtad y

transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del

plazo de conservación.

El riesgo asociado a estos principios pueden ser entre otros: La ausencia de

legitimidad para el tratamiento de datos de carácter personal (por ejemplo no

contar con el consentimiento recogido en un formulario de una persona de

contacto)

A este riesgo le aplicamos las siguientes medidas de seguridad/protección:

*Disponer de un formulario para recoger el consentimiento que incluya las

debidas cláusulas informativas.

ii. Registro de Actividades de tratamiento

El registro de actividades de tratamiento, es una herramienta de media intensidad, y se

acumulará a la herramienta básica de análisis de riesgos y gestión de riesgos por defecto.

Es decir, el RT o ET que esté obligado según el RGPD a realizar un registro de actividades de

tratamiento, también habrá realizado previamente el análisis de riesgos y gestión de riesgos por

defecto. El RGPD regula el registro de actividad en el art. 30.

El mantenimiento del Registro de actividades de tratamiento únicamente será obligatorio según el

RGPD para aquellas empresas u organizaciones que cuenten con más de 250 trabajadores.

El RGPD dice también que será obligatorio llevar a cabo un registro de actividades de tratamiento

aunque se cuente con menos de 250 trabajadores, si el tratamiento conlleva riesgo para los

afectados, no es ocasional, o si tratan datos relativos a ideología u opiniones políticas, afiliación

sindical, religión u opiniones religiosas, creencias o creencias filosóficas, origen étnico o racial,

datos relativos a salud, vida sexual u orientación sexual, datos de violencia de género y malos

tratos, datos biométricos, datos genéticos que proporcionan una información única sobre la

fisiología o la salud del identificado obtenidas del análisis de una muestra biológica, datos

solicitados para fines policiales sin consentimiento de las personas afectadas, datos relativos a

condenas y delitos penales.

La información que se hará constar en el Registro de Actividades de Tratamiento del RT será:

- Los datos de contacto del responsable ( RT) del representante, DPO...

- Fines de tratamiento (por ejemplo: para gestionar la relación de prestación de servicios)

- Categorías de interesados (clientes, asistentes a eventos, proveedores...), datos personales

(nombres, apellidos, dirección...), destinatarios a quién se comunicarán los datos

personales (gestarías, empresas de informática)

de 34

- Transferencias internacionales de datos (Si es que se realizarán).

- Plazos de supresión de los datos personales (si es posible)

- Descripción de las medidas de seguridad implementadas en los procesos de tratamiento

de datos (si es posible)

La información que se hará constar en el Registro de Actividades de Tratamiento del ET será:

- Los datos de contacto del ET y de cada RT por cuenta del cual actúa el ET, y en su caso del

representante del RT o ET, y del DPO.

- Categorías de tratamientos efectuados por cuenta de cada RT

- Transferencias internacionales de datos, identificación del país y documentación de las

garantías adecuadas.

- Descripción de las medidas de seguridad, si es posible.

Estos registros deberán constar por escrito, incluso en formato electrónico, y estar a disposición

de la A.E.P.D. si les es requerido.

iii. Evaluación de impacto.

La podemos definir como la herramienta de mayor intensidad, de carácter preventivo que obliga

a determinados RT a identificar, evaluar y gestionar los riesgos a los que están expuestas sus

actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas

físicas.

En la mayoría de casos no será necesaria la utilización de esta herramienta, por lo que

entraremos a exponerla de forma muy breve.

Únicamente estarán obligados a realizar una EIPD, los RT cuando el tratamiento de datos de

carácter personal entrañe un alto riesgo para los derechos y libertades de las personas físicas

(art. 35 RGPD)

¿Y cuándo existe un alto riesgo para los derechos y libertades de los afectados?

- Si efectuamos una evaluación sistemática y exhaustiva de aspectos personales de los

interesados mediante herramientas informáticas. Por ejemplo, elaboración de perfiles a los

que posteriormente venderemos un producto o servicio.

- Tratamiento a gran escala de datos especialmente protegidos.

- Observación sistemática a gran escala de una zona de acceso público. Por ejemplo: cámaras

de seguridad establecidas en la vía pública que controlen a los ciudadanos.

Podemos dividir las FASES DE UN EIPD en tres fases bien diferenciadas:

de 34

Primera fase: Contexto

Etapa 1: Ciclo de vida de los datos de carácter personal.

Damos por reproducido lo ya manifestado en el apartado relativo al ciclo de vida de los datos de

carácter personal.

Etapa 2: Proporcionalidad en el tratamiento.

El RT, junto con el ET y el DPO deben contestar a las siguientes PREGUNTAS BÁSICAS:

- ¿Quienes son los titulares de los datos que vamos a tratar? Por ejemplo clientes, contactos,

redes sociales, entre otros.

- ¿Qué datos de carácter personal hemos decidido tratar? Si van a recoger el DNI, el

domicilio, el número de teléfono, datos sobre salud, ideología política y/o religiosa, datos

sobre orientación sexual, entre otros.

- ¿Qué vamos a hacer con estos datos que tratamos? ¿qué finalidad tiene dicho

tratamiento? Si van a utilizar los datos para efectuar estadísticas, o bien para gestionar la

prestación de servicios contratada, para enviar publicidad…

- ¿Son necesarios todos estos datos? Han de evaluar si todos los datos que están recogiendo

son necesarios para las finalidades que han establecido: para gestionar la prestación de

servicios de gestoría por ejemplo, no será necesario solicitar datos sobre ideología, entre

otros.

Efectuadas las preguntas y obtenidas las respuestas, el RT se ha de preguntar si dispone de base

legitimadora (art. 6 RGPD) para efectuar el tratamiento. Si la respuesta es afirmativa, pasaremos

a analizar si el tratamiento que vamos a realizar es proporcional a los fines que hemos

establecido.

El RT ha de evaluar si la finalidad que se persigue con el tratamiento de determinados datos de

carácter personal se puede conseguir por otros medios. Ejemplos de este último sería si el RT

para la recogida de datos pueden utilizar tecnologías menos invasivas; si se puede reducir la

cantidad de datos que recoge, ya sea reduciendo el número de personas a quién le requerimos los

datos, ya sea comprobando qué tipo de datos recogemos; entre otras opciones.

Estas preguntas se han de responder y poner por escrito en el documento donde recogemos la

evaluación de impacto. En caso de que veamos que no cumple con ninguno de estos principios,

deberemos dejar de llevar a cabo el tratamiento y reformularlo.

Segunda fase: Gestión de riesgos, que a su vez se divide en 2 ETAPAS

Etapa 1: Identificación de las amenazas y riesgos.

de 34

En este apartado hacemos referencia a todo lo manifestado en el punto identificación de

amenazas y riesgos y por tanto, el RT deberá efectuar cada una de las actuaciones establecidas en

dicho apartado, con las siguientes ESPECIFICACIONES:

El riesgo que existe para cada actividad de tratamiento de datos personales se compone de DOS

CONCEPTOS:

- La probabilidad de que una amenaza tenga lugar, y

- El impacto, es decir, las consecuencias que se producen cuando la amenaza tiene lugar.

Tanto a la probabilidad como al impacto, se le otorgan unos valores que van del 1 al 4: siendo 1

probabilidad/impacto despreciable, hasta 4 probabilidad/impacto máximo.

Todo impacto ocasiona un daño que se puede categorizar en: daños físicos (agresiones físicas

derivadas de la publicación no autorizada de datos íntimos: orientación sexual), daños materiales

(rotura de discos duros) y daños morales (pérdida de valor de la empresa).

Etapa 2: Tratamiento de la amenazas y riesgos.

Identificadas las amenazas y riesgos, se han de establecer MEDIDAS ATENUADORAS del mismo,

que al final es el objetivo último de un EIPD. Entre otras medidas atenuadoras del riesgo

encontramos:

a. Las técnicas: son medidas encaminadas a poner en valor la seguridad física y lógica de

los activos de información. Ejemplos: cifrado de datos (establecimiento de contraseñas),

controles de acceso, entre otras.

b. Las legales: son medidas encaminadas a cumplir con las normas. Ejemplos: cláusulas de

recogida de consentimiento expreso.

c. Las organizativas: son medidas encaminadas a establecer procedimientos tales como:

establecimiento de procedimiento de ejercicio de derechos por los interesados.

La adopción de estas medidas nos dará como resultado lo que se denomina un riesgo

residual con unos valores comprendidos: del 1 al 2( riesgo bajo), del 3 al 6 (riesgo medio) del 7 al 9

(riesgo alto), del 10 al 12 o más (riesgo muy alto).

Para abordar dicha atenuación del riesgo podemos optar por CUATRO VÍAS:

a. La anulación del riesgo. Abandonar la actividad de tratamiento si entendemos que no

queremos asumir dicho riesgo.

de 34

b. La retención del riesgo. Entender que las medidas que hemos implementado para

atenuar el riesgo son suficientes a éstos últimos y no hay que adoptar ninguna medida

más.

c. La reducción del riesgo. Mediante la implementación de medidas que permitan reducir

o bien la probabilidad y/o impacto asociados al riesgo.

d. La transferencia del riesgo. Podemos contratar a otras entidades públicas o privadas

que nos permitan atenuar las consecuencias materiales asociados a los riesgos. En estos

casos, será necesarios efectuar análisis adicionales.

Tercera fase: Conclusión.

El EIPD finaliza con la fase relativa a la conclusión, donde distinguimos DOS ETAPAS: bien

diferenciadas: el plan de acción y el informe de conclusiones.

Etapa 1: Plan de acción

El plan de acción consiste en un conjunto de iniciativas que se deben realizar para

implantar los controles que ayudan a reducir el riesgo inherente de toda actividad de

tratamiento.

Etapa 2: Informe de conclusiones

En el informe de conclusiones se deberá recoger el riesgo residual obtenido durante la fase de

gestión de riesgos, valorando si ese es elevado o se considera aceptable y dentro de unos límites

razonables.

En caso de que la conclusión del EIPD no sea favorable, se deberán incluir medidas de control

adicionales que permitan reducir el nivel de exposición a los riesgos, disminuyendo el mismo

hasta un nivel aceptable. Si no fuese posible el tratamiento sería necesario activar un

procedimiento de consulta previa a la Autoridad de control.

En caso de que la conclusión del EIPD sea favorable, la actividad de tratamiento se puede llevar

a cabo siempre que se efectúen las medidas de control recogidas en el plan de acción.

3.12. Transferencia internacional de datos.

La circulación de datos entre países de la UE está amparada por el principio de libre circulación

(Art. 1.3 RGPD). No así las transferencias transfronterizas de datos personales a países no

pertenecientes en la Unión.

de 34

Por transferencia internacional de datos se entiende cualquier transmisión de datos de carácter

personal fuera del Espacio Económico Europeo sea cual sea el medio que se utilice para ello.

Primera categoría: Transferencias internacionales basadas en una decisión de adecuación.

El artículo 45 RGPD determina que se podrá realizar una transferencia de datos personales a un

tercer país u organización internacional, sin ninguna autorización administrativa previa “cuando la

Comisión haya decidido que el tercer país, un territorio o varios sectores específicos de ese tercer

país (…) garantizan un nivel de protección adecuado”.En este caso, debe haber un soporte o

habilitación.

El RGPD prevé los siguientes:

Ejemplos:

Andorra: Decisión 2010/625/UE de la Comisión, de 19 de octubre 2010.

Argentina: Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003.

Canadá: Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001.

Estados Unidos: Solo si la entidad está adherida a “Privacy Shield”.

Guernesey: Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.

Isla de Man: Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.

Islas Feroe: Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010.

Israel: Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011.

Jersey: Decisión 2008/393/CE de la Comisión, de 8 de mayo de 2008.

Nueva Zelanda: Decisión 2013/65/UE de la Comisión, de 21 de agosto de 2012.

Suiza: Decisión 2000/518/CE de la Comisión, de 26 de julio de 2010.

Uruguay: Decisión 2012/484/UE de la Comisión, de 21 de agosto de 2012.

Segunda categoría: Transferencias internacionales mediante garantías adecuadas.

A diferencia de la actual LOPD, el RGPD prevé que se podrán efectuar transferencias a terceros

países u organizaciones que no cuenten con el visto bueno de la Comisión Europea si se cumplen

unas determinadas garantías tasadas reglamentariamente. En estas ocasiones tampoco es

necesaria la autorización administrativa de la autoridad de control (en España, la Agencia Española

de Protección de Datos).

En resumen, el artículo 46 RGPD prevé que, en los casos indicados reglamentariamente, se

entenderá –iuris tantum-, en la mayoría de supuestos- que la transferencia tiene garantías

adecuadas como las que se realizarían dentro de territorio común.

Tercera categoría: “Binding corporate rules” o normas corporativas vinculantes.

de 34

El RGPD también prevé el supuesto de los grupos empresariales con empresas en distintos países.

El legislador comunitario ha entendido que una forma para hacerlo es mediante las “Binding

corporate rules” o normas corporativas vinculantes.

En este sentido, el artículo 47 RGPD establece que la autoridad de control aprobará normas

corporativas de carácter vinculante a las que se podrán unir los grupos de empresas, permitiendo

salvaguardar la transferencia de datos.

Cuarta Categoría: Excepciones para situaciones específicas (Art. 49)

Permite realizar transferencia si no se dan las categorías anteriores sí hay:

a) consentimiento explícito tras información adecuada.

b) Necesidad para ejecución de contrato o precontrato entre interesado y RT, o entre RT y

tercero en su interés.

c) Por razones importantes de interés público.

d) Formulación, ejercicio, defensa de reclamaciones.

e) Proteger los intereses vitales del interesado o otras personas.

f) La transferencia se realice desde un registro público que tenga por objeto facilitar información

al público.

3.13. Régimen sancionador.

Regulado en el Título VIII. Procedimientos en caso de posible vulneración de la normativa de

protección de datos y en el Título IX. Régimen Sancionador de la LOPDGDD, no nos extenderemos

sobre el mismo.

Sólo señalar que las sanciones más graves pueden ir hasta los 20 millones de euros o el 4% del

volumen de negocio global del ejercicio financiero anterior de la compañía infractora.

4. Estado de cumplimiento.

En la entrevista efectuada con fecha de 3.diciembre.2018 a la directora de la A.E.P.D., Dª. MAR

ESPAÑA se señala que:

- Se han designado 22.000 delegados de protección de datos.

- Han aumentado las reclamaciones un 35% desde el 25 de mayo.

de 34

- Sigue existiendo fraude en materia de implantación de protección de datos. Empresas que

ofrecen el servicio de protección de datos a coste cero. E incluso se han detectado empresas

que utilizan el logo de la A.E.P.D. para dar la visión de que son organismos certificados por la

autoridad de control.

- Se han notificado 300 notificaciones de brechas de seguridad, de las cuales 10 están siendo

investigadas.

- En los municipios de menos de 20.000 habitantes las administraciones públicas no tienen

designado un delegado de protección de datos, se está trabajando en ello.2

BIBLIOGRAFÍA

1. Guía práctica de análisis de riesgos para el tratamiento de datos personales, A.E.P.D. Link:


2. Guía práctica para las evaluaciones de impacto en la protecciónd e datos personales, A.E.P.D.

Link: https://www.aepd.es/guias/index.html

3. Guía para el cumplimiento del deber de informar, A.E.P.D. Link:


4. Guía pra la gestión y notificaciónd e brechas de seguridad, A.E.P.D. Link: Link:


5. “Practicum protección de datos 2.018”, Ed. Arazadi, S.A.U, ISBN 978-84-9098-947-0.

6. Revista CincoDías de “El Pais” el pasado 3.Diciembre.2018. Link:

https://cincodias.elpais.com/cincodias/2018/12/03/legal/1543823598_064718.html

2Entrevista efectuada en la revista CincoDías de “El Pais” el pasado 3.Diciembre.2018. Link:








El comercio electrónico y la nueva LOPDGDD (desarrollo del ... · 3.3.1. El consentimiento de los...

Documents

Transcript of El comercio electrónico y la nueva LOPDGDD (desarrollo del ... · 3.3.1. El consentimiento de los...