Protección de datos

Historia del reglamento

Han pasado ya más de 25 años desde que en nuestro país se dictara la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD), que fue la pionera en desarrollar el artículo 18.4 de la Constitución Española, estableciendo el contenido del derecho a la intimidad personal y familiar.

En todo este tiempo se han sucedido diversos cambios legislativos, cuyo mayor exponente fue la Ley Orgánica 15/1999, de 13 de diciembre, sobre Protección de Datos de Carácter Personal (LOPD), que vino a actualizar el desarrollo del contenido del citado derecho fundamental con base en la directiva 95/46/CE del Parlamento Europeo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de los mismos entre empresas de la Unión Europea. En este sentido, es necesario indicar que el Derecho de la Unión Europea ha sido el eje fundamental sobre el que ha pivotado siempre nuestra legislación en esta materia, constituyendo un instrumento de armonización de las legislaciones nacionales.

Estado actual

El Reglamento General de Protección de Datos (RGPD – REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE) constituye un hito en la normativa sobre la protección del derecho fundamental a la protección de datos personales, ya que estamos ante un verdadero instrumento vinculante, un Reglamento Europeo, que no necesita de actos de transposición como una Directiva, y que posee un efecto directo y de supremacía sobre el derecho nacional.

Este nuevo Reglamento es un hito también por su decidida firmeza, ya que es un texto jurídico muy exigente con las entidades que vayan a tratar datos de carácter personal, tanto en los deberes que les impone como en las consecuencias jurídicas que se prevén, que pueden llegar a sanciones de multa de hasta 20 millones de euros o un 4% de la facturación general anual.

El RGPD (o GDPR) supone un cambio de concepción hacia un sistema de responsabilidad activa o rendición de cuentas (accountability), propio de los sistemas anglosajones y que se ha traducido como compliance.

El RGPD ha entrado en efecto el pasado 25 de mayo de 2018, por lo que se hace imprescindible para las organizaciones estar ya en disposición de acreditar el cumplimiento de la normativa.

Marco jurídico

En España, el marco jurídico, está constituido por el artículo 18.4 de la Constitución que contempla que el Estado debe limitar el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el legítimo ejercicio de sus derechos, desarrollado por la recientemente aprobada Ley Orgánica 3/2018, de 5 de diciembre, sobre Protección de Datos de Carácter Personal y Garantía de Derechos Digitales (LOPDGDD), por lo que será necesario un esfuerzo extra de adaptación a la nueva normativa.

En definitiva, el ordenamiento comunitario ha apostado por implantar una cultura del “Compliance” en materia de protección de datos, procurando estrategias preventivas y fomentando una cultura del cumplimiento, que sustituye los cumplimientos formales por una efectiva realización de los mandatos de la norma, que han de ser demostrables, y que se deben basar en una evaluación previa, rigurosa y específica, que además este basada en las nuevas exigencias acordes a los tiempos y tecnologías con las que convivimos como la nube y el internet de las cosas.

Método de trabajo

En nuestros proyectos seguimos una metodología del ciclo de Deming:

El alcance de nuestros proyectos dependerá del cliente concreto, ya que nuestros trabajos se adaptan absolutamente a cada problemática. En todo caso, siempre realizamos las siguientes actividades:

Realizar un análisis de protección de datos desde el diseño (Privacy by Design) y por defecto (Privacy by Default), detectando todas las posibles actividades de tratamiento de datos de su empresa.
Implementar un Registro de Actividades Tratamiento de Datos, que es uno de los documentos básicos que ha de llevar en su organización y que debe estar al día y actualizado.
Analizar si las medidas técnicas, organizativas y de seguridad aplicadas son suficientes en relación a la probabilidad de ocurrencia de una quiebra en la protección, así como en relación al impacto que dicha quiebra pueda tener, esto es, realizar un análisis de riesgos.
Adecuar los procedimientos de protección de datos:
Establecer procesos para el ejercicio de los nuevos derechos: portabilidad, derecho al olvido,
Diseñar nuevos formularios para el derecho de información de los interesados: página web, correos, formularios de toma de datos,…
Analizar los consentimientos de tratamientos de datos y en su caso recabar nuevamente, especialmente en los casos de consentimientos tácitos y consentimientos genéricos (no específicos para un tratamiento).
Asesorar en la adecuación del uso de cookies y del cumplimiento de la página web de la compañía, de conformidad con la normativa sobre servicios de la sociedad de la información y comercio electrónico (LSSICE).
Asesorar en la nueva normativa española de Protección de Datos y su aplicación en coordinación con el GDPR.
Asesoramiento en la designación, en su caso, del Delegado de Protección de Datos, valorando su vinculación interna o externa.
Asesoramiento en la implantación del principio Accountability o Responsabilidad Activa, de forma que se implementen procesos para obtener y conservar evidencias de los tratamientos y el cumplimiento de las obligaciones que impone en el GDPR.
Asesoramiento sobre la necesidad, en su caso, de realizar una Evaluación de Impacto de Protección de Datos (PIA) o una Evaluación de Riesgos Simplificada. Si del resultado del análisis hubiera que realizar una EIDP (PIA) esta se presupuestará de forma independiente, no estando incluida su realización en este presupuesto.
Conseguir una total penetración en la organización, de tal modo que se alcance un elevado nivel de sensibilización por parte del personal sobre la protección de este derecho fundamental.

Estamos certificados por el ISMS FORUM y el Data Privacy Institute como Data Pricacy Professional desde 2018, por lo que aportamos un plus de garantías y profesionalidad. También somos socios de las principales Asociaciones del sector de Protección de Datos, donde acudimos a formación continua y compartimos inquietudes y problemáticas conjuntas. Por último formamos parte del Catálogo de Emrpesas y Soluciones de Ciberseguridad del INCIBE (INSTITUTO NACIONAL DE CIBERSEGURIDAD)

Delegado de Protección de datos externo (DPO o DPD)

Ofrecemos también el servicio de Delegado de Protección de Datos externo (DPO o DPD) realizando las siguientes funciones:

El DPO tiene las siguientes funciones:

Interlocución en la organización: reuniones con cuadros directivos
Supervisión de la observancia del RGPD:
- recabar información para determinar las actividades de tratamiento;
- analizar y comprobar la conformidad con la normativa de las actividades de tratamiento;
- informar, asesorar y emitir recomendaciones al responsable o al encargado del tratamiento (pero no es responsable de aplicar las medidas técnicas y organizativas)
Elaboración del Registro de Actividades de Tratamiento y su mantenimiento.
Asesoramiento en la realización de la EIDP (pero no la elabora):
- Asesora si se debe hacer o no, la metodología, si se hace internamente o subcontrata y propuesta de medidas para mitigar riesgos.
- Asesora si se ha hecho correctamente y sus conclusiones. Recomendar no seguir con un tratamiento o consultar AC.
Cooperar con la Autoridad de Control, esto es, con la Agencia Española de Protección de Datos y actuar como punto de contacto
Establecer prioridades, siempre atendiendo actividades de mayor riesgo.
Indicar los ámbitos que deben ser objeto de una auditoria de protección de datos interna o externa, y colaborar con los auditores.
Asesoramientos cuando hay violación de la seguridad de los datos o cualquier otro incidente.
Impartir formación a los empleados de la organización y mandos directivos.
Informe anual de las actividades del DPD.
Inspeccionar los procedimientos relacionados con LOPD/RGPD y emitir recomendaciones.
Se le debe dar acceso a los datos personales y procesos de tratamiento. (No se le puede negar so pretexto del deber de confidencialidad o secreto de los datos)
Documentar y comunicar inmediatamente a los órganos de administración y dirección del responsable TODA VULNERACIÓN RELEVANTE.
Actuar como “primera instancia” antes de la AEPD cuando el interesado reclame:
- Plazo de resolución: dos meses a contar desde la recepción de la reclamación.
- Un mes, si la reclamación se la envía la AEPD, tras recibirla del afectado.
Comprobación de todos los formularios, cláusulas de información.
Revisión contratos de encargo de tratamiento.
En general, cualquier cuestión de protección de datos: privacidad desde diseño. Debe Involucrarse desde las fases más tempranas y asistir regularmente a las reuniones directivas.

¿Por qué debemos contratar un delegado de protección de datos externo?

Porque tiene conocimientos muy especializados en una materia compleja
Porque normalmente si nombramos a alguien interno de la organización habrá un conflicto de intereses. (ej. responsable de RRHH, departamento jurídico, departamento de TI, seguridad, director general, Dir. Financiero, …En definitiva, no puede ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento de datos personales.
Porque puede haber conflicto de prioridades: debe tener asignado un tiempo mínimo, y no se deben posponer los problemas de protección de datos so pretexto de falta de tiempo.
Porque tiene autonomía e independencia: no recibe ninguna instrucción en lo que respecta al desempeño de dichas funciones.
Porque nadie internamente quiere asumir la responsabilidad que supone.
Porque el nombramiento interno supone otorgar a un empleado un estatus especial de protección, ya que el RGPD impide la rescisión injustificada del contrato motivada por las actividades del DPD, así como la destitución improcedente del miembro de la organización que realice las funciones del DPD, salvo que incurriera en dolo o negligencia grave en su ejercicio.
Porque si no se esta obligado a nombrarlo puede constituir una circunstancia atenuante de la responsabilidad en casos de sanción.

La Directiva NIS 2 ya es de directa aplicación sin que España la haya traspuesto

El pasado 17 de octubre fue el último día concedido por la Directiva NIS 2 para que se operara su

No hay caducidad de la acción de reposición de legalidad cuando estamos ante usos o actividades ilegales

En este artículo quiero comentar la reciente Sentencia 150/2024 del Juzgado Contencioso-Administrativo nº 2 de Vigo dictada en un procedimiento

Cookie	Duración	Descripción
__cf_bm	1 hour	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__stripe_mid	1 year	Stripe sets this cookie to process payments.
__stripe_sid	1 hour	Stripe sets this cookie to process payments.
apbct_cookies_test	session	CleanTalk sets this cookie to prevent spam on comments and forms and act as a complete anti-spam solution and firewall for the site.
apbct_headless	session	Cleantalk set this cookie to detect spam and improve the website's security.
apbct_page_hits	session	CleanTalk sets this cookie to prevent spam on comments and forms and act as a complete anti-spam solution and firewall for the site.
apbct_pixel_url	session	Clean Talk sets this cookie to make WordPress anti-spam cookies, e.g., spam on forms and comments.
apbct_prev_referer	session	Functional cookie placed by CleanTalk Spam Protect to store referring IDs and prevent unauthorized spam from being sent from the website.
apbct_site_landing_ts	session	CleanTalk sets this cookie to prevent spam on comments and forms and act as a complete anti-spam solution and firewall for the site.
apbct_site_referer	3 days	CleanTalk Spam Protect sets this cookie to prevent spam and to store the referrer page address which led the user to the website.
apbct_timestamp	session	CleanTalk sets this cookie to prevent spam on comments and forms and act as a complete anti-spam solution and firewall for the site.
apbct_urls	3 days	CleanTalk Spam Protect sets this cookie to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Analytics" category.
cookielawinfo-checkbox-functional	1 year	The GDPR Cookie Consent plugin sets the cookie to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Necessary" category.
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie stores user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie stores the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
ct_has_scrolled	session	CleanTalk sets this cookie to store dynamic variables from the browser.
ct_pointer_data	session	CleanTalk sets this cookie to prevent spam on the site's comments/forms, and to act as a complete anti-spam solution and firewall for the site.
ct_timezone	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
elementor	never	The website's WordPress theme uses this cookie. It allows the website owner to implement or change the website's content in real-time.
wpEmojiSettingsSupports	session	WordPress sets this cookie when a user interacts with emojis on a WordPress site. It helps determine if the user's browser can display emojis properly.

Cookie	Duración	Descripción
ct_checked_emails	session	Clean Talk sets this cookie to prevent spam on the site's comments or forms.
ct_checkjs	session	Clean Talk sets this cookie to prevent spam on the site's comments or forms.
ct_fkp_timestamp	session	Clean Talk sets this cookie to prevent spam on the site's comments or forms.
ct_ps_timestamp	session	Clean Talk sets this cookie to prevent spam on the site's comments or forms.
ct_sfw_pass_key	1 month	Clean Talk sets this cookie to prevent spam on the site's comments or forms.
trx_addons_is_retina	1 year	ThemeREX sets this cookie to determine if the user has a retina display.

Cookie	Duración	Descripción
test_cookie	15 minutes	doubleclick.net sets this cookie to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.

Protección de datos

Protección de datos

Historia del reglamento

Estado actual

Marco jurídico

Método de trabajo

Delegado de Protección de datos externo (DPO o DPD)

¿Por qué debemos contratar un delegado de protección de datos externo?

No hay caducidad de la acción de reposición de legalidad cuando estamos ante usos o actividades ilegales

Legal

Servicios

Contacto

Protección de datos

Historia del reglamento

Estado actual

Marco jurídico

Método de trabajo

Delegado de Protección de datos externo (DPO o DPD)

¿Por qué debemos contratar un delegado de protección de datos externo?

La Directiva NIS 2 ya es de directa aplicación sin que España la haya traspuesto

No hay caducidad de la acción de reposición de legalidad cuando estamos ante usos o actividades ilegales

¿Puede la empresa utilizar un correo electrónico o un número de teléfono personal de un/a trabajador/a?

Informacion básica en materia de cookies