Proyecto de Ley Orgánica de Protección de Datos

El Consejo de Ministros del Gobierno de España ha aprobado el Proyecto de Ley Orgánica de Protección de Datos que adaptará nuestra legislación a las disposiciones del Reglamento UE 2016/679, introduciendo novedades y mejoras en la regulación de este derecho fundamental en mi país. Este Reglamento Europeo que se aplicará a partir del próximo 25 de mayo de 2018, recoge como uno de sus principales objetivos acabar con la fragmentación existente en las distintas normativas de los países comunitarios.

Además, persigue la adaptación de las normas de protección de datos a la rápida evolución tecnológica y los fenómenos derivados del desarrollo de la sociedad de la información y la globalización. En el caso de España, donde la protección de datos es un derecho fundamental protegido por el artículo 18.4 de la Constitución, se recogen novedades tanto en el régimen de consentimiento como en los tratamientos y en la introducción de nuevas figuras y procedimientos. Adelanta a los 13 años la edad de consentimiento para el tratamiento de datos en consonancia con la normativa de otros países de nuestro entorno.

Igualmente se tomará en cuenta el tratamiento de los datos correspondientes a personas fallecidas en base a la solicitud de sus herederos, se excluye la figura del consentimiento tácito que se sustituye por una acción afirmativa y expresa por parte del afectado y se recoge manifiestamente el deber de confidencialidad. En caso de una inexactitud en los datos personales obtenidos de forma directa, se excluye la imputabilidad del responsable de su tratamiento si éste ha adoptado todas las medidas razonables para su rectificación o supresión. 

En las cuestiones relacionadas con el tratamiento de datos, incorpora el principio de transparencia en cuanto al derecho de los afectados a ser informados sobre dicho tratamiento y contempla de forma expresa los derechos de acceso, rectificación, supresión, derecho a la limitación del tratamiento, así como a la portabilidad y oposición. Para evitar situaciones discriminatorias, se mantiene la prohibición de almacenar datos de especial protección, como ideología, afiliación sindical, religión, orientación sexual, origen racial o étnico y creencias.

En estas categorías, el solo consentimiento del interesado no basta para dar viabilidad al tratamiento. Asimismo, introduce algunos supuestos en los que el legislador contempla como presunción, la prevalencia del interés legítimo del responsable del tratamiento de los datos en cumplimiento de determinados requisitos, como en el caso de los sistemas de información crediticia. Igualmente, regula situaciones en las que se aprecia la existencia de interés público, como los relacionados con la videovigilancia y sistemas de exclusión publicitaria (listas Robinson), la función estadística pública y las denuncias internas en el sector privado.

Entre las novedades, destaca la potenciación de la figura del delegado de protección de datos, persona física o jurídica cuya designación ha de ser comunicada a la autoridad competente, que mantendrá relación con la AEPD (Agencia Española de Protección de Datos). Por su parte, la AEPD se configura como autoridad administrativa independiente cuyas relaciones con el Gobierno se realizan a través del Ministerio de Justicia. Se establece la necesaria cooperación y coordinación con las correspondientes autoridades autonómicas de protección de datos. 

En relación con el procedimiento, promueve la existencia de mecanismos de autorregulación tanto en el sector público como en el privado e introduce la obligación de bloqueo que garantiza que los datos queden a disposición de un tribunal, el Ministerio Fiscal u otras autoridades competentes (como la AEPD) para la exigencia de posibles responsabilidades derivadas de su tratamiento, evitando así que se puedan borrar para encubrir el incumplimiento.

En el caso de España, la adaptación de nuestra legislación al Reglamento General de Protección de Datos hace necesaria la elaboración de una nueva Ley Orgánica en sustitución de la actual, cuyas normas y desarrollo deberán ser revisadas y adaptadas para evitar contradicciones. Igualmente, la AEPD deberá desarrollar cuestiones concretas que el reglamento comunitario remite a las autoridades nacionales de control y tendrá que revisar sus tratamientos de datos personales para adaptarlos a esas exigencias.

Este reglamento atiende a nuevas circunstancias provocadas fundamentalmente por el aumento de los flujos transfronterizos de los datos personales como consecuencia de la actividad del mercado interior, teniendo en cuenta que la rápida evolución tecnológica y la globalización han provocado que esos datos sean un recurso fundamental para la sociedad de la información. Ante esta situación, han aumentado los riesgos inherentes a que las informaciones sobre los individuos se hayan multiplicado de forma exponencial siendo más accesibles y más fáciles de procesar, al tiempo que se ha hecho más difícil el control de su uso y destino (Fuente de la información: MJ; fuente de la imagen: pixabay).

Proyecto Google Street View

Recientemente, la AEPD ha concluido que Google recogió y almacenó datos personales transmitidos a través de redes WiFi abiertas sin que los afectados tuviesen conocimiento de dicha recogida y sin obtener el consentimiento de los mismos. En consecuencia, la Agencia declara la existencia de una infracción grave e impone a Google una sanción de 300.000 euros. Si bien la AEPD inició de oficio la investigación de estos hechos en mayo de 2010, la existencia de un procedimiento judicial penal abierto en el Juzgado de Instrucción Nº 45 de Madrid obligó a la AEPD a suspender la tramitación de su procedimiento sancionador en virtud del artículo 7 del Real Decreto 1398/1993, por el que se aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora. Una vez se tuvo conocimiento de la firmeza del auto por el que se acuerda el sobreseimiento provisional y archivo de las diligencias previas, la Agencia Española de Protección de Datos reanudó el procedimiento administrativo, resolviéndolo tras el correspondiente plazo de presentación de alegaciones.
La Ley Orgánica de Protección de Datos establece en su artículo 6.1 que el tratamiento de los datos de carácter personal requiere el consentimiento inequívoco del afectado, salvo determinadas excepciones no aplicables en este caso concreto. En el marco de la investigación realizada, la Agencia Española de Protección de Datos ha constatado que Google recogió información de diversa tipología sin que los afectados tuviesen conocimiento de que dicha recogida de datos se estaba llevando a cabo y sin su consentimiento. La compañía recabó, entre otra, información relativa a direcciones de correo electrónico de personas físicas, códigos de usuario y contraseña que permiten el acceso a cuentas de correo electrónico, direcciones IP, direcciones MAC de los routers y de los dispositivos conectados a los mismos o nombres de redes inalámbricas (SSID) configurados con el nombre y apellidos de su responsable. No se ha constatado que Google tratase datos especialmente protegidos a través de estos sistemas.

En cuanto a que los datos se recogiesen de redes WiFi abiertas, la resolución especifica que “el hecho de que los titulares de redes WiFi no aseguren el cifrado de estas redes, en perjuicio de la seguridad de sus datos, no autoriza en modo alguno la recogida de la información llevada a cabo ni ningún uso posterior de la misma”. Para determinar la cuantía de la sanción, la mayor en el caso de las infracciones graves, se ha considerado, entre otros factores, el carácter continuado de la infracción (desde mayo de 2008 a mayo de 2010), el volumen masivo de datos personales recogidos; la vinculación de la actividad de Google con la realización de tratamientos de datos de carácter personal, el volumen de negocio o actividad de la compañía considerando su modelo económico; que las infracciones son el resultado del sistema de recogida y tratamientos de datos diseñado por Google, así como el perjuicio que dicho sistema causa a la privacidad de las personas afectadas (Fuente de la información: AEPD; fuente de las imágenes: pixabay).

Nuevos recursos para centros docentes y familias

La Agencia Española de Protección de Datos (AEPD) ha confccionado nuevos recursos y materiales de ayuda para fomentar la privacidad y la protección de datos de los menores. Este objetivo se ha plasmado en tres proyectos orientados tanto a los centros docentes y el profesorado como al entorno familiar. Así, la Agencia ha presentado la guía "Protección de datos para centros educativos", en la que se ofrece respuesta directa a las dudas más frecuentes planteadas por la comunidad educativa; los vídeos "Tú controlas internet", orientados a concienciar a los menores sobre algunas situaciones de riesgo; y el taller para familias "Los menores y su cibermundo", con consejos sobre cómo acompañar a los hijos en su utilización de las nuevas tecnologías.

La guía ‘Protección de datos en centros educativos’, surge de la necesidad de dar respuesta a las dudas más habituales que plantean ante el Canal Joven de la Agencia tanto centros docentes como profesores, AMPAs o las propias familias, sumando además las aportaciones de la comunidad educativa. El resultado es una guía práctica que, además de los conceptos y principios básicos sobre protección de datos, incluye la respuesta directa a más de 80 preguntas, muchas de ellas relacionadas con la expansión de las nuevas tecnologías. ¿Puede un centro educativo acceder al contenido de dispositivos electrónicos de los alumnos?, ¿pueden los profesores crear grupos con alumnos utilizando aplicaciones de mensajería instantánea?, o ¿pueden publicarse en la web del centro fotografías o vídeos de los alumnos? son algunas de las cuestiones recogidas en el documento.

La guía incluye además un Decálogo simplificado con los aspectos más relevantes para realizar un uso adecuado de los datos personales en los centros educativos así como una sección específica de los cambios que producirá la aplicación del nuevo Reglamento General de Protección de Datos el 25 de mayo de 2018.

La Agencia también ha presentado la serie ‘Tú controlas internet’, cuatro vídeos que pueden ser visionados tanto en el aula como en familia y que abordan situaciones como el ciberacoso (En este partido nos la jugamos), el grooming (Planazo de fin de semana), el sexting (Un vídeo muy especial) o la dependencia tecnológica (Un crack del BMX). La Agencia considera que la distribución de estos materiales a través de las aulas es imprescindible para llegar a los más de 8 millones de alumnos escolarizados, por lo que solicita la colaboración de todos los actores implicados en la educación de los menores para que contribuyan a prevenir y concienciar de estos peligros. Según un informe reciente de la OCDE, casi una cuarta parte de los chicos y chicas de 15 años pasa más de seis horas al día en internet cuando sale de clase y el 17% de los estudiantes empezó a utilizar internet cuando tenían 6 años o menos.

La finalidad de estos vídeos es que sean utilizados como herramienta para fomentar la educación digital de los menores, contribuyendo a evitar que puedan verse involucrados en situaciones de riesgo que, en ocasiones, producen un daño difícil de reparar debido al efecto multiplicador de redes sociales o mensajería instantánea. La AEPD se ha decantado por utilizar en estos vídeos la técnica visual thinking considerando el dibujo como una herramienta útil para captar la atención y facilitar la comprensión de estos conceptos en grupos de diferentes edades.

El tercer proyecto que ha presentado la Agencia es el taller para familias ‘Los menores y su cibermundo’, conducido por el experto Ángel-Pablo Avilés, autor de El blog de Angelucho. El taller, que incluye orientaciones y pautas, está compuesto por nueve vídeos de entre dos y diez minutos de duración en los que se abordan temas de interés para los padres a la hora acompañar a sus hijos en su relación con las nuevas tecnologías. El funcionamiento de las aplicaciones más utilizadas por los jóvenes y los riesgos más comunes asociadas a las mismas son algunos de los contenidos tratados. De hecho, según datos del CIS, un 36,6% considera que el riesgo más habitual al que se exponen los menores es la difusión de fotos o vídeos comprometidos, seguido de dar a conocer demasiada información sobre ellos mismos a gente que no conoce (24,3%).

Estos recursos se incorporan a la web de la Agencia Tú decides en internet, un proyecto global que incluye varias líneas de actuación y que apuesta por la prevención y la concienciación como herramientas imprescindibles. Además, la AEPD dispone del Canal Joven, que incluye correo electrónico (canaljoven@agpd.es), teléfono (901 233 144) y WhatsApp (616 172 204) para informar y asesorar sobre cuestiones relacionadas con la privacidad y la protección de datos de los menores. Los nuevos contenidos se enmarcan en las actuaciones previstas en el Plan Estratégico 2015-2019 de la Agencia y se han presentado en colaboración con el Ministerio de Educación, Cultura y Deporte en virtud del convenio suscrito por ambas entidades para para impulsar la formación de los menores en materia de privacidad y protección de datos, en especial en internet (Fuente de la información AEPD; fuente de la imagen: pixabay).

Facilita RGPD

La Agencia Española de Protección de Datos (AEPD), con la colaboración de CEOE y CEPYME, ha presentado Facilita RGPD, una herramienta para ayudar a las empresas y profesionales que traten datos personales de escaso riesgo a cumplir con el nuevo Reglamento General de Protección de Datos (RGPD), que será aplicable el 25 de mayo de 2018. El acto de presentación ha contado con la participación del presidente de CEOE, Juan Rosell; el presidente de CEPYME, Antonio Garamendi, y la directora de la AEPD, Mar España, que han destacado la importancia de ofrecer a las empresas recursos que les permitan adaptarse a la nueva legislación. Asimismo, estas entidades han suscrito un Protocolo General de Actuación para fomentar la difusión del RGPD y de aquellas herramientas, guías y publicaciones realizadas por la Agencia y que puedan ayudar a las empresas en el cumplimiento de sus obligaciones.

Facilita RGPD está planteada como un cuestionario online con una duración máxima de 20 minutos con el que las empresas y profesionales pueden, en primer lugar, constatar a través de una serie de preguntas que los datos que tratan pueden considerarse de bajo riesgo y, en segundo lugar, obtener los documentos mínimos indispensables para facilitar el cumplimiento del RGPD al terminar el test. La información que las empresas aporten –y que la AEPD no conserva ni monitoriza de forma alguna– les permitirá obtener esos documentos casi completados. Esas plantillas incluyen los requerimientos básicos marcados por el RGPD, como el registro de actividades de tratamiento, la cláusula informativa, las cláusulas que deberían incluirse si la empresa contrata con un encargado del tratamiento (una gestoría, por ejemplo) y un anexo con las medidas de seguridad mínimas. En la actualidad, el Registro de la AEPD supera los 4,6 millones de ficheros de titularidad privada inscritos y el 75% de ellos hacen referencia a tratamientos de bajo riesgo (clientes y/o proveedores; nóminas o recursos humanos) cuyos responsables son pymes en más del 90% de los casos.

El test está dividido en cuatro bloques. En el primero, la organización debe seleccionar cuál es su sector de actividad y el tipo de datos que trata. A continuación, una vez que se constata que los tratamientos que realiza entrañan, a priori, un escaso nivel de riesgo para los derechos y libertades de las personas, Facilita RGPD pedirá al responsable que aporte cierta información sobre su empresa (nombre, dirección, CIF o teléfono, entre otros). En el tercer bloque, la aplicación solicitará información sobre los tratamientos que realiza (clientes, empleados, currículums de candidatos, etc.) Con información aportada, en la última fase se generarán los documentos mínimos indispensables para facilitar el cumplimiento del RGPD. El RGPD es directamente aplicable el 25 de mayo de 2018 y supone una aproximación distinta a la protección de datos por parte de aquellos que los tratan. La AEPD quiere fomentar su cumplimiento en la medida de lo posible, especialmente entre las pymes, que suponen el 99,8% del tejido empresarial español y para las que la adaptación al nuevo marco legal puede suponer una mayor dificultad debido, en muchos casos, a la escasez de recursos. Con el lanzamiento de Facilita RGPD la Agencia quiere ofrecerles una herramienta de ayuda para que puedan conocer, de la manera más sencilla posible, las implicaciones y los cambios que supone la nueva normativa, de forma que puedan tomar las medidas necesarias.

Facilita RGPD se suma así a otras iniciativas que la Agencia ha puesto en marcha para promover el cumplimiento del nuevo Reglamento, entre las que también hay que destacar el Esquema de certificación de Delegados de Protección de Datospresentado el pasado julio para ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que vayan a contratar sus servicios. Además, la Agencia está trabajando en diversos materiales para orientar a las empresas que no puedan utilizar Facilita RGPD –por no tratar exclusivamente datos de escaso riesgo– a realizar el análisis de riesgo que impone el RGPD. Asimismo, la Agencia pondrá Facilita RGPD a disposición del Grupo de Autoridades europeas de Protección de Datos de los Estados miembros para que aquellas que lo deseen puedan utilizarla como base para ofrecer este servicio de ayuda en sus respectivos países. Fuente de la Información: Nota de prensa AEPD.  Fuente de la imagen: pixabay.