DEROGACIÓN DE LA LOPD 15/1999

O más bien, la entrada en vigor de la nueva “Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales”. Publicada en el día de ayer en el BOE, entra en vigor hoy, lo que ha supuesto la derogación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (salvo algunos preceptos como por ejemplo de los artículos 22, 23 y 24). Por tanto, se va dando un poco más de luz al ya, desde mayo, nuevo escenario en esta materia.

Esta ley, cubre la necesidad de complementar al RGPD, aunque como viene siendo habitual, su publicación llega con cierto retraso.

Vamos a recordar algunos contenidos recogidos en esta nueva Ley:

  1. Consentimiento en el tratamiento de datos:  será necesario una manifestación de voluntad libre, específica, informada e inequívoca por la que el titular acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. Cuando el objetivo sea recabar el consentimiento  para una pluralidad de finalidades, será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas y no habrá consentimiento para finalidades que no guarden relación con la relación contractual.
  2. Datos de personas fallecidas: a pesar de que su tratamiento está excluido del ámbito de aplicación de la ley, podrá ser llevada a cabo por los herederos , el ejerciendo los derechos de acceso, rectificación o supresión, salvo que la persona fallecida lo hubiera prohibido.
  3. Menor de edad: Se mantiene que el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años. Se estable también, que en plazo de un año, se elabore un proyecto de ley dirigido a garantizar los derechos de los menores ante el impacto de Internet, con el fin de garantizar su seguridad y luchar contra la discriminación y la violencia que sobre los mismos es ejercida mediante las nuevas tecnologías
  4. Delegado de Protección de Datos: Se estable un listado de supuestos en los que será necesario designación de un DPO, completando lo indicado en el artículo 37.1 del Reglamento (UE) 2016/679. También se menciona la posibilidad de demostrarse la cualificación de esta figura, entre otros, a través de mecanismos voluntarios de certificación.
  5. Garantía de los derechos digitales: Bajo el titulo X, encontramos derechos como el derecho a la Derecho a la neutralidad de Internet. (servicios sin discriminación por motivos técnicos o económicos), Derecho de acceso universal a Internet, el Derecho a la intimidad y uso de dispositivos digitales y a la desconexión digital en el ámbito laboral, el Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo, así como ante la utilización de sistemas de geolocalización. Otros derechos mencionados también son el conocido Derecho al olvido en búsquedas de Internet, o  en servicios de redes sociales y servicios equivalentes, así como el de Derecho a portabilidad de los datos. También se indica que el Gobierno pretende elaborar un plan de acceso a internet que garantice el acceso a colectivos vulnerables, así como impulsar espacio de conexión de acceso público.
  6. Practicas agresiva: las prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos personales o actuar, sin designación expresa del responsable o el encargado, como DPO, se considerarán prácticas agresivas.
  7. Contratos: En cuanto a los contratos de encargado del tratamiento, firmados con anterioridad al 25 de mayo de 2018 se mantendrán vigentes hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el Reglamento.
  8. Régimen Electoral: Se añade un nuevo artículo a la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General que permitirá a los partidos políticos, coaliciones y agrupaciones electorales, utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral y el envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes, no tendrán la consideración de actividad o comunicación comercial. Eso sí, se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.»
  9. Empresarios individuales: Existirá intereses legítimos y por tanto licitud de tratamiento, en el tratamiento de datos de contacto de empresarios individuales y de profesionales liberales cumpliendo las premisas oportunas.
  10. Tratamiento especiales de datos: Un último punto a destacar y que creo que dará que hablar, es que la Ley indica que a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado NO bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
Anuncios

PROTECCIÓN DE DATOS, VULNERACIÓN DE DERECHOS

A falta de pan buena son tortas, esto es lo que se debe pensar al ver publicado el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.

Y es que no habiéndose publicado aún la nueva Ley de Protección de Datos, el legislador ha trabajado este Real Decreto-Ley ante la aplicación del Reglamento Europeo de Protección de Datos, desde el 25 de mayo de 2018.

En él, podemos encontrarnos tres capítulos, el primero de ellos versa sobre la identificación del personal competente para el ejercicio de los poderes de investigación que el Reglamento General de Protección de Datos otorga en su artículo 58.1 a las autoridades de control. El segundo de ellos regula el régimen sancionador establecido en el Reglamento General de Protección de Datos, reemplazando los tipos infractores actualmente contenidos en la Ley Orgánica 15/1999 por la remisión a los que están establecidos en los apartados 4, 5 y 6 del artículo 83 de dicho reglamento, lo que resulta de todo punto necesario

Por último y en el que me detendré, el capítulo III regula el procedimiento en caso de que exista una posible vulneración del Reglamento General de Protección de Datos.

En concrero, a través de este procedimiento, el afectado podrá reclamar cuando no haya sido atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 15 a 22 del Reglamento (Derecho de acceso, rectificación, supresión («el derecho al olvido»), Derecho a la limitación del tratamiento, Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento, Derecho a la portabilidad de los datos y Derecho de oposición).

El procedimiento se iniciará con la admisión a trámite, previa presentación de reclamación oportuna. Se advierte que la petición puede ser inadmitida y entre sus causas puede considerarse, la advertencia formulada por la Agencia al responsable o encargado de tratamiento siempre que concurra alguna de las siguientes circunstancias:

  • Que no se haya causado perjuicio al afectado.
  • Que el derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas.

La Agencia puede de igual modo, remitir la reclamación al propio responsable o encargado de tratamiento o, en caso de que existiera, al Delegado de Protección de Datos a fin de que dé respuesta a la reclamación en el plazo de un mes. La decisión sobre la admisión o inadmisión a trámite, deberá notificarse al reclamante en el plazo de tres meses.

El plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación.

De todos modos, con carácter previo, incluida la admisión a trámite de una reclamación o el comienzo de actuaciones previas de investigación, la Agencia examinará su competencia y determinará el carácter nacional o transfronterizo, en cualquiera de sus modalidades, del procedimiento a seguir.

Admitida a trámite la reclamación, la Agencia podrá poner en marcha una fase de actuaciones previas de investigación, que se regirá por lo previsto en el artículo 11 de este Real Decreto-Ley. El procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad, y en consecuencia, el archivo de actuaciones. También se establece la posibilidad de suspender los trámites.

Durante la realización de las actuaciones previas de investigación o iniciado un procedimiento para el ejercicio de la potestad sancionadora, la Agencia Española de Protección de Datos podrá acordar motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos

Cuando se hubiese presentado ante la Agencia Española de Protección de Datos una reclamación que se refiriese, entre otras cuestiones, a la falta de atención en plazo de los derechos establecidos en los artículos indicados más arriba, la Agencia  también podrá acordar en cualquier momento, incluso antes del iniciación del procedimiento para el ejercicio de la potestad sancionadora, mediante resolución motivada y previa audiencia del responsable del tratamiento, la obligación de atender el derecho solicitado, prosiguiéndose el procedimiento en cuanto al resto de las cuestiones objeto de la reclamación

Para concluir, se recoge en la Disposición transitoria segunda, un aspecto interesante en relación a los Contratos de encargado del tratamiento. Indica al respecto que los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018, mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. Si bien, las partes podrán exigirse a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento Europeo.

LOS AVISOS DE COOKIES EN PELIGRO DE EXTINCIÓN

¿ Qué podemos decir de las cookies que ya no hayamos dicho?

Pues su último pase aún no se ha escrito y es que en el día de hoy, la Comisión Europea ha lanzado una nueva propuesta en forma de Reglamento sobre la privacidad y las comunicaciones electrónicas. La iniciativa propuesta según se indica, pretende aumentar la protección de la vida privada de los ciudadanos y brindará nuevas oportunidades a las empresas.

Pero,  ¿qué propone exactamente?.  Una de las noticias que más ha llamado la atención, ha sido la iniciativa de eliminar en algunos supuestos concretos, la necesidad de ofrecer al usuario las solicitudes de autorización en relación a la descarga de cookies.  La propuesta pretende que no se solicite el consentimiento para las «cookies» invasivas ajenas a la privacidad que mejoran la experiencia de internet (se indica a modo de ejemplo, recordar el historial del carrito de la compra). Un sitio web visitado que efectúen el recuento del número de visitantes a dicho sitio, no tendrá que preocuparse de ofrecer el mencionado consentimiento. Y es que desde la implantación de la obligación de solicitar la pertinente autorización, el usuario de Internet se ha acostumbrado a aceptar sistemáticamente la política de cookies sin entrar a valorar el contenido de lo que se está aceptando.  De tal manera, el efecto pretendido que era que el usuario estuviera en todo momento informado, se ha diluido.  Por ello, la Comisión se ha animado a lanzar la indicada propuesta, que libere de la obligación de obtención de consentimiento para aquellas cookies que no pongan en peligro  la privacidad del usuario. A este respecto los navegadores de Internet adquirirán una mayor importancia.  Esa importancia que ya se avanzaba en la normativa vigente.Recordemos que el artículo 22 de la LSSICE   ya indicaba los siguiente:

“Cuando sea técnicamente posible y eficaz,  el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarme mediante el uso de los parámetro adecuados del navegador o de otras aplicaciones”

Pero la propuesta trae consigo otras medidas que también son de interés.  Entre otras medidas se indican puntos como la propuestas que exijan una mayor garantía de la confidencialidad a los nuevos proveedores de servicios de comunicaciones electrónicas, como WhatsApp, Facebook Messenger, Skype, Gmail, iMessage o Viber.

La lucha contra el correo basura es objeto también de esta nueva propuesta que pretende la prohibición de las comunicaciones electrónicas no solicitadas por cualquier medio, por ejemplo, mediante correos electrónicos, mensajes de texto y, en principio, también mediante llamadas telefónicas, si los usuarios no han dado su consentimiento.

Otros aspectos que de igual modo son objeto de análisis son el contenido y metadatos  de las comunicaciones y las nuevas oportunidades comerciales que se pueden generar una vez que se haya otorgado el consentimiento para que se proceson los datos de las comunicaciones.

La Comisión espera que el Parlamento Europeo y el

Sigue leyendo

MIS DATOS PERSONALES

En nuestro día a día, facilitamos datos personales constantemente. Rellenamos formularios on line, formularios en papel, contestamos a llamadas telefónicas de alta de servicios, comerciales etc. ¿Pero como debería ser la solicitud, conservación y cancelación de nuestro datos?

Estamos hablando del “Principio de Calidad”. Este principio engloba distintos conceptos o principios, que se deberían respetar a la hora tratar los datos personales de terceros.

El primer principio que debemos tratar, es el principio de finalidad. Con ello, se pretende determinar que los datos recogidos deben atender a una finalidad determinada, explicita y legítima. Es decir, los datos que se solicitan deberían ser simplemente, los imprescindibles para cumplir tal finalidad, no solicitando más datos de los necesarios. Pero además, esta finalidad debe ser conocida por quien acepta dar sus datos y por supuesto ser adecuadas al ordenamiento jurídico.

El objetivo en todo caso es que los datos sean adecuados a la finalidad que se persigue por lo que no se debería exceder en la petición de datos que no cumplen con el objetivo que se buscó en el momento de creación del fichero. El consentimiento del usuario debe estar totalmente relacionado con los fines precisos descritos a la hora de la petición de los datos. Ni que decir tiene que los datos no pueden ser obtenidos bajo engaño o fraude.

Los datos recabados también deben encontrarse en todo momento actualizados,  respetando el principio de veracidad, exactitud e integridad. Para ello, los datos tendrán que estar por tanto almacenados y ordenados, rectificados cuando sea necesario por los posibles cambios que se hayan producido o finalmente cancelados. El mantener los datos actualizados, es cosa de ambas partes, tanto del responsable del fichero como del propio usuario que facilitó los datos (que deberá comunicar en su caso, las posibles modificaciones).

Otro aspecto a tener en cuenta, es  la conservación de los mismos. La conservación de estos datos, debe llevarse a cabo de tal forma, que permita la identificación de los usuarios hasta que la finalidad del fichero decaiga, momento en el que deberán ser cancelados.

En cuanto a la cancelación de datos, esta debe producirse, como hemos indicado, cuando los datos solicitados ya no responden a la finalidad para la cual se solicitaron. Hay que aclarar que la cancelación de los datos, no supone la eliminación de los mismos sino que se deberán conservar bloqueados durante un periodo de tiempo, hasta finalmente sean eliminados.

Finalmente, es necesario recordar las sanciones que impone la AGPD en caso de incumplimiento normativa vigente en protección de datos.

  • Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
  • Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
  • Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.

AYUDAS A LOS JÓVENES EMPRESARIOS

Los jóvenes emprendedores entre  18 y 30 años deben tener en cuenta la recientemente publicadas bases de reguladoras para la concesión de ayudas a jóvenes que no tengan ninguna ocupación laboral ni se encuentren estudiando o realizando algún ciclo formativo reglado, siempre que se encuentren inscritos en el Fichero del Sistema Nacional de Garantía Juvenil.

Se podrá elegir entre diferentes formas jurídicas para iniciar la actividad. Podrá optarse por darse de alta como autónomo individual, Comunidad de Bienes ( Sorprende la inclusión de la l C.B y la exclusión de la Sociedad Civil, tal vez ésta, tras la última modificación sufrida sea una forma que caerá en desuso) o constituir sociedad mercantil a elegir entre: Sociedad Limitada de Nueva Empresa, Sociedad de Responsabilidad Limitada, Sociedad Limitada de Formación sucesiva. En caso de estas tres últimas formas jurídicas el emprendedor, deberá ser administradores y poseer al menos el 51% del capital social de la entidad creada.

Los jóvenes emprendedores, deberán estar inscritos además en el Fichero del Sistema Nacional de Garantía Juvenil. Por otro lado, no se puede haber iniciado la actividad con anterioridad a la solicitud de la subvención y deben hallarse al corriente en el cumplimiento de las obligaciones tributarias y con la Seguridad Social.

 El Período subvencionable será de los 6 meses siguientes desde el inicio formal de la actividad de emprendimiento. Se considerará inicio formal de la actividad el momento en el que el beneficiario o la beneficiaria esté dado de alta en el Impuesto de Actividades Económicas (IAE).

El importe de subvención, que podrá llegar a los 3.000 euros, estará destinado a cubrir gastos como:

  • Colaboraciones externas / asesorías.
  • Adaptación e implantación de la normativa de protección de datos personales (LOPD) y adaptación del sitio web a la ley de servicios de la sociedad la información y comercio electrónico (LSSICE).
  • Inversiones en patentes y modelos de utilidad. Tasa de solicitud de registro de marca o nombre comercial a nivel nacional en la OEPM. (Sólo primera marca y una clase). Deberá aportar impreso oficial de solicitud de registro de marca o nombre comercial.
  • Gastos de constitución de la sociedad.
  • Programas formativos.
  • Programas de aceleración empresarial.
  • Misiones comerciales, participación en ferias.
  • Diseño de la imagen corporativa.
  • Diseño y elaboración de páginas web o portales corporativos virtuales. • Posicionamiento web.
  • Gastos correspondientes al pago de cánones de entrada por franquicia.
  • Diseño y elaboración de catálogos de productos y/o servicios.
  • Desarrollo de prototipos de I+D (puede incluir material y fungibles necesarios para la construcción y puesta a punto de prototipos).
  • Certificación de sistemas de gestión y productos: calidad, medioambiental, I+D+i, seguridad.

Así que ya no hay excusa para no emprender en cuanto se publique la convocatoria. Eso sí, hay que tener en cuenta la importancia de recibir un buen asesoramiento antes de empezar.