Resumen del nuevo Reglamento de Protección de datos

Internet está revolucionando los servicios de las comunicaciones electrónicas, diariamente aparecen nuevas aplicaciones móviles, redes sociales o dispositivos que facilitan la interacción entre los ciudadanos y empresas pero también debería de hacer ser conscientes de los nuevos riesgos que esto implica.

¡Una idea! Hagamos una encuesta para conocer cuantos usuarios que visitan una página web desde el teléfono móvil entienden la finalidad de ese mensaje que aparece tan molesto, ocupando 1/4 de pantalla, y que dice algo sobre “cuquis”.

Apenas el 15 % de los ciudadanos europeos considera que controla completamente la información que aporta en Internet.

Fuente: eurobarómetro sobre protección de datos.

Estamos inspirados, ¡otra encuesta! ¿Sabemos, exactamente, qué datos personales tienen Google, Apple o Instagram nuestros? Algo casi imposible, metadatos en imágenes, cookies, sistemas de posicionamiento… recursos disponibles en cualquier smartphone y que permiten conocer numerosa información personal.

Por todo lo anterior, desde el Consejo Europeo, se ha elaborado un nuevo Reglamento de Protección de Datos renovándose la Directiva del año 1995, teniendo como una de sus principales finalidades modernizar la normativa actual adaptándola a las nuevas tecnologías y formas de comunicación. Este asunto ya se reflejo en el año 2002 dentro de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo sobre el tratamiento de los datos personales y la protección de la intimidad en el sector de las comunicaciones electrónicas.

Descarga en PDF Reglamento de protección de datos del Parlamento Europeo en Español

¿Qué cambios hay en el nuevo Reglamento?

Dividiremos este apartado en dos bloques: empresas y ciudadanos.

Modificaciones que afectarán a las empresas

Parece que, por fin, la nueva normativa mejorará desde el punto de vista burocrático, reduciendo los trámites a los que se enfrentan las empresas, sobre todo los autónomos y pymes, cuando conocen la obligación de cumplir con la LOPD.

En Europa, las mismas reglas

El nuevo reglamento, creado por este organismo europeo, además de mejorar para los ciudadanos el acceso y control de sus datos personales, unificará las normativas actuales que hay en cada país miembro.

¿Qué es la One stop shop?

Se habilitará una”One stop shop” o más conocido como ventanilla única. De esta manera, una empresa española con sedes en Alemania, Italia u otro país de la Unión Europea solo tendrá que tratar con la autoridad de protección de datos española o con la del estado miembro donde se encuentre su matriz. Mediante la creación de esta Autoridad de Control, el vicepresidente de la Comisión Europea afirma que se conseguirá un ahorro de 2.300 millones de euros al año.

Obligaciones proporcionales al tipo de datos personales

En función del tipo de datos personales tratados, las obligaciones que deberán acatar las empresas serán proporcionales al riesgo que implica, por su naturaleza, el tratamiento, la cesión a terceros o incluso el peligro que supondría un acceso no autorizado a los mismos. Podemos afirmar que, de esta manera, se pretende reducir o suprimir formalismos burocráticos sobrantes.

¿Quién necesitará un Delegado de Protección de Datos?

Aparece la obligación de contratar un Delegado de Protección de Datos (DPO) en:

  • Organizaciones e instituciones públicas.
  • Empresas
    • Con más de 250 trabajadores.
    • Con menos de 250 empleados.
      • Que necesiten un seguimiento sistemático y periódico de los datos personales tratados:
        • Para la monitorización o investigación de mercados.
        • De análisis de riesgos.
        • Crediticios o de solvencia patrimonial.
      • Que traten con datos catalogados de especialmente protegidos:
        • Religiosos o de creencias.
        • Afiliación sindical.
        • Raciales.
        • Biométricos, si permiten identificar exhaustivamente a una persona.
        • Sexuales.
        • Salud.
        • Antecedentes penales o condenas.

Con la incorporación de DPO podemos afirmar que se pretende dar una mayor fuerza a la figura del Responsable de Seguridad, que es la persona que actualmente se debe asignar en las organizaciones para velar por el correcto cumplimiento de la LOPD.

La diferencia más notoria entre el Responsable de Seguridad y el Delegado de Protección de Datos es la exclusividad de éste último en sus funciones, el DPO ya no será como hasta ahora la persona que se designaba como Responsable de Seguridad, ocurriendo que, sin apenas justificación, se elegía al informático o se autonombraba el administrativo al que su jefe le derivó informarse sobre cómo cumplir la LOPD en la empresa.

Nos quedaría pendiente conocer que titulación o formación deberá disponer la persona a ocupar este puesto. Estaremos pendientes las modificaciones que se produzcan en el reglamento.

Como ciudadano, ¿qué necesito conocer del nuevo reglamento?

Empecemos describiendo su finalidad, permitir a los ciudadanos tener un control más exhaustivo de sus datos personales. Con esta nueva normativa europea se pretende una ley de protección de datos más moderna y unificada, acorde a los medios de comunicación actuales.

Por favor, olvídense de mí

Se mejora el derecho al olvido, cuando nos demos de baja en un servicio podremos solicitar el borrado definitivo de nuestros datos personales, excepto que exista alguna otra normativa que lo impida. Una ventaja muy clara: podremos solicitar a una página de Internet que elimine totalmente los datos que aparecen en su web sobre nuestra persona.

Acceso fácil

El titular de los datos personales podrá acceder mejor einformarse sobre la utilización de sus datos personales.

Portabilidad de los datos

Un usuario podrá solicitar a un proveedor de servicios sus datos personales para trasladarlos al que decida derivar la contratación.

ejemplos proteccion de datos

Al igual que cuando solicitamos la portabilidad de nuestro contrato de telefonía móvil, avisando a Vodafone que vamos a cambiarnos a Pepe Phone y ya nos trasladan el número de teléfono, pues luego también podremos decir a Facebook que, por favor, traslade nuestros datos personales a Instagram, perdón que son los mismos, pues a Twitter.

Avisarnos que sucede con nuestro datos

Si el organismo o empresa sufre un robo o ataque a sus sistemas informáticos, afectando a nuestros datos personales, deberá informar de ello.

Fuente: Ayudaleyprotecciondatos

El nuevo papel de los profesionales de Protección de datos

 

La reciente aprobación de la nueva normativa de Protección de Datos en el Parlamento Europeo marca el inicio de un cambio drástico en el panorama de la privacidad y la protección de datos en el ámbito comunitario. En ese contexto, la Asociación Profesional Española de Privacidad (APEP) ha querido destacar en un comunicado las nuevas obligaciones y responsabilidades que exige el nuevo reglamento tanto al sector privado como al público:

Continuar leyendo «El nuevo papel de los profesionales de Protección de datos»

Resolución de la AEPD sobre autorización a Microsoft para Transferencia Internacional de Datos

Microsoft ha recibido el respaldo de la Agencia Española de Protección de Datos (AEPD), que reconoce la solvencia y las garantías de los servicios corporativos de Microsoft en la Nube en lo relativo a transferencias internacionales de datos.

Continuar leyendo «Resolución de la AEPD sobre autorización a Microsoft para Transferencia Internacional de Datos»

Protección de datos abre una investigación por la filtración sobre Mossos

La Agencia Española de Protección de Datos (AEPD) ha abierto «actuaciones previas de investigación» por la filtración de datos personales de agentes de los Mossos d’Esquadra tras el ataque informático a la web del Sindicat de Mossos d’Esquadra (AME).

La entidad pública estatal es quien tiene competencias por tratarse de la web de un sindicato, ya que su homólogo autonómico, la Autoritat Catalana de Protecció de Dades, solo tiene competencias sobre el tratamiento de datos que realizan los organismos de la Generalitat, según explicaron varios juristas a este diario.

La agencia estatal tiene competencias porque el ataque ha sido a un sindicato

La AEPD investigará de oficio «el acceso indebido a ficheros que son responsabilidad del Sindicat de Mossos d’Esquadra y su posterior difusión en internet», según explicó un portavoz. La filtración incluye número de agente, nombre y apeliidos, domicilio personal, teléfonos y cuenta bancaria de más de 5.600 policías que han tenido relación con el sindicato desde la creación de la web.

Si la investigación oficial concluyera que hubo negligencia en la custodia del fichero, que estaba correctamente registrado en la AEPD como exige la legislación española, podría imponerle multas de hasta 60.000 euros, como ya apuntó el pasado miércoles el ‘conseller’ de Interior Jordi Jané, aludiendo al límite previsto para una sanción leve. La máxima sanción que puede imponer la agencia llega, sin embargo, a los 600.000 euros, cuando el infractor se hubiera negado repetidamente a resolver el fallo. La página atacada dejó de estar operativa pocas horas después del ataque informático, que se produjo de madrugada.

DATOS DE ESPECIAL PROTECCIÓN

La cuantía de las sanciones que impone la agencia española tienen en cuenta tanto el daño causado como las circunstancias en las que se produce la filtración, pero también diversos atenuantes en la consideración de la gravedad del caso. Los datos de afiliación sindical están considerados, por sí mismos, de especial protección.

Los supuestos autores del ataque informático han divulgado este jueves un vídeo en varias redes sociales con todos los pasos que siguieron para infiltrarse en el servidor de la web atacada y han públicado en páginas de intercambio de archivos la base de datos completa de la página del sindicato.

Fuente: El Periodico

La UE aprueba la Ley de Protección de Datos

El pleno del Parlamento Europeo ha aprobado al reglamento de protección de datos, cuyo objetivo es para garantizar unos estándares comunes adaptados al entorno digital. El pleno también ha dado luz verde al Registro de Pasajeros de Transporte Aéreo.

Tras más de cuatro años de intenso trabajo, el pleno del Parlamento Europeo (PE) aprobó ayer definitivamente el nuevo reglamento general de protección de datos, que reemplaza a la obsoleta directiva sobre la misma materia, ratificada en 1995.

Este nuevo texto, que entrará en vigor 20 días después de su publicación en el Diario Oficial de la UE y que será de aplicación directa en todos los estados, es un paso definitivo para armonizar las normativas vigentes de los países de la UE, para devolver a los ciudadanos el control de sus datos personales y para garantizar unos elevados estándares de protección, confianza y seguridad jurídica.

Entre las disposiciones que aparecen en este extenso trabajo legislativo hay que destacar el derecho de rectificación en Internet -conocido como derecho al olvido-, mediante la modificación o supresión de datos personales; la obligación de obtener un consentimiento claro y afirmativo de los usuarios; el derecho a ser informado sobre un posible pirateo de datos personales; así como multas de hasta el 4% de facturación global de las empresas en caso de infracción sobre estos datos.

Este paquete normativo incluye además una directiva sobre transmisión de datos para cuestiones judiciales y policiales. La intención de este texto es proteger a las personas implicadas en investigaciones policiales o procesos judiciales -víctimas, acusados o testigos- mediante la clarificación de sus derechos y el establecimiento de límites en la transmisión de datos.

Transporte aéreo

El pleno del PE también ha dado luz verde a la creación del polémico registro europeo de datos de los pasajeros de transporte aéreo (PNR, por sus siglas en inglés). Este texto, aplazado durante años por las dudas generadas respecto a un posible problema de privacidad de los pasajeros, se ha desbloqueado por la presión de los gobiernos para contar con ella en la lucha contra el terrorismo yihadista.

Esta medida obligará a las compañías aéreas a entregar a las autoridades nacionales los datos de los pasajeros de sus rutas a terceros países con salida o llegada desde un estado miembro, pero no la de los vuelos intracomunitarios. Además, los países también podrán recoger y procesar los datos PNR en posesión de agencias de viajes y touroperadores, que también gestionan billetes de avión.

Fuente: Expansión

¿Qué cambia con la nueva Ley de Protección de Datos?

El pasado 14 de abril el Parlamento Europeo aprobaba finalmente elReglamento General de Protección de Datos (RGPD), una nueva normativa común para los Estados Miembro que viene a actualizar el marco legal que rige el tratamiento de datos personales que se mantenía casi intacto desde el año 1995 con la Directiva 95/46/CE.

Este RGPD, que trae importantes novedades en relación a las garantías y límites en la protección de datos personales, algunas de ellas con un impacto directo en el sector tecnológico, entrará en vigor en los próximos días, si bien no será de aplicación hasta mayo de 2018.

El primer punto importante que tenemos que tener en cuenta es cuándo este RGPD desplegará sus efectos y el ámbito de aplicación territorial. Ahora, las normas de protección de datos vigentes solo entran en juego cuando el responsable del tratamiento, esto es, por ejemplo, la empresa que trata nuestros datos personales, esté establecida en la Unión Europea. Si la empresa que trata nuestros datos personales no tiene un establecimiento en Europa, la normativa comunitaria y la nacional no podrán entrar en juego, por lo que las garantías y límites que establecen no pueden ser aplicados (con algunas excepciones que ahora no vienen al caso).

Pero con la nueva ley de protección de datos nos encontramos ante una situación que pretende proteger los datos personales de los ciudadanos europeos frente al tratamiento que hacen, especialmente, las empresas tecnológicas extranjeras. Cuando sea de aplicación el RGPD, éste será de aplicación por cualquier empresa, con independencia de dónde esté ubicada, siempre que trate los datos personales de un ciudadano de la Unión y cuando las actividades de ese tratamiento estén relacionadas con la oferta de bienes o servicios a estos ciudadanos en la Unión, independientemente de si a estos se les requiere un pago o no. Igualmente, será de aplicación si el tratamiento se realiza para controlar el comportamiento de los ciudadanos de la Unión.

Esto viene a corregir una situación no prevista en el año 1995 (fecha de la actual Directiva de protección de datos) en la que, ante el surgimiento de los grandes gigantes de Internet desde empresas ubicadas en Estados Unidos, los datos personales de los ciudadanos europeos se podían ver desprotegidos o al menos no con las mismas garantías que si los tratase una empresa europea, dado que no era exigible, con carácter general, la aplicación de nuestras garantías y derechos a estos gigantes extranjeros.

Pero como decimos, ahora esto cambia, y si una empresa no europea quiere tratar datos personales de europeos para los tratamientos antes descritos, deberá hacerlo bajo nuestras reglas de protección de datos.

Así por ejemplo, a empresas como Google, Facebook, Linkedin, etc, aunque no estuvieran establecidas en la Unión Europea, les sería de aplicación nuestro RGPD.

ACCESO A DATOS EN LAS APPS: EL JUSTO Y NECESARIO

Para los diseñadores de aplicaciones surge una importante novedad; el RGPD establece ahora que cuando se prevea o se vaya a producir un tratamiento de datos personales, se deberán aplicar las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.

En la práctica esto significa que a la hora de desarrollar una aplicación y ponerla en funcionamiento, los parámetros activos por defecto deberán garantizar un tratamiento de datos personales mínimo y necesario para el fin que se persigue. Pongamos el siguiente ejemplo para entendernos: imaginemos la típica aplicación “linterna” para móvil. Esta aplicación deberá venir por defecto configurada de forma que el tratamiento de datos personales que realice sea el imprescindible para hacer funcionar el led correspondiente de la cámara, por lo que si la aplicación accede, por ejemplo, a nuestros contactos, nos encontraríamos con una aplicación ilícita desde el punto de vista del RGPD.

Otra novedad importante es la obligación de notificar una violación de la seguridad de los datos personales. Con el RGPD, las empresas estarán obligadas a notificar en un plazo máximo de 72 horas a la autoridad de control competente (en España lo es la Agencia Española de Protección de Datos) de las violaciones de la seguridad de los datos personales.

Esto significa que cuando una empresa detecte que ha sido objeto de un “hackeo” en el que se han podido ver afectados los datos personales de, por ejemplo, sus clientes, deberá comunicar a la autoridad de control tal circunstancia en ese plazo máximo de 72 horas, indicando, entre otra información, la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados; describir las posibles consecuencias de la violación de la seguridad de los datos personales.

Además, cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, la empresa deberá comunicar tal circunstancia al afectado o interesado.

Es decir, con la nueva normativa de protección de datos se convierte en una obligación legal para la empresa el informar cuando haya sido “hackeada”, incluso, dependiendo del caso, podría ser obligatorio informar a las víctimas (los clientes de la empresa afectada por ejemplo) de tal circunstancia.

Este sin duda es uno de los mayores retos y dificultades con los que se encontrarán las empresas en el futuro. Hoy en día muchas empresas prefieren no airear sus problemas de seguridad informática por varios motivos (imagen, daño reputacional, incentivar nuevos ataques,…). Pero ahora no tendrán opción: sí o sí deberán notificarlo a la autoridad de control y en muchas casos también a todas las víctimas del fallo de seguridad, bajo pena de multa de hasta 10 millones de euros o del 2% del volumen de negocio total anual global del ejercicio financiero anterior (la cuantía que salga más elevada).

Fuente: Baquia