Entradas

La AEPD publica dos documentos que recogen las obligaciones del Reglamento de Protección de Datos para las AAPP

La Agencia Española de Protección de Datos quiere fomentar que estas entidades conozcan las implicaciones prácticas de la nueva normativa, de forma que puedan tomar las medidas necesarias.

  • ‘El impacto del RGPD sobre la actividad de las AAPP’ sintetiza en 15 puntos los aspectos que deben tener establecidos el 25 de mayo de 2018.
  • ‘El Delegado de Protección de Datos en las AAPP’ recoge la posición, las funciones las funciones y las cualidades profesionales de una figura que será obligatoria para las administraciones.

La necesidad de identificar con precisión las finalidades y la base jurídica de los tratamientos que realizan, con exigencias adicionales en el caso de los datos especialmente protegidos; ofrecer a los ciudadanos una información más amplia de la que actualmente se ofrece y hacerlo de forma concisa, transparente y con un lenguaje claro; establecer mecanismos sencillos para que los ciudadanos puedan ejercer sus derechos; realizar análisis de riesgos de todos los tratamientos de datos que lleven a cabo y revisar las medidas de seguridad establecidas; establecer un registro de actividades y designar a un Delegado de Protección de Datos, entre otros puntos, son algunos de los aspectos recogidos en el texto.

En este sentido, el segundo documento está centrado en ‘El Delegado de Protección de Datos en las Administraciones Públicas’. El Reglamento establece como obligatoria la designación de esta figura en el caso de autoridades u organismos públicos. En consecuencia, la designación de los DPD en el ámbito público debería producirse con antelación al 25 de mayo de 2018.

La regulación del Delegado de Protección de Datos que establece el Reglamento es válida tanto para entidades privadas como para autoridades y organismos públicos, si bien hay algún aspecto en el que existen disposiciones diferenciadas para el sector público y, en todo caso, el perfil del DPD puede presentar particularidades. El documento recoge de manera sistemática la posición y las funciones del DPD puntualizando los aspectos propios de las administraciones, además de abordar las cualidades profesionales que debe tener esta figura.

Ambos documentos se suman a los recursos de ayuda que la Agencia ya tiene disponibles en su sección específica sobre el Reglamento para ayudar a las entidades, tanto públicas como privadas, a adaptarse a los cambios que incorpora y cumplir así con sus obligaciones.

ACCEDER A LA NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

La AEPD presenta nuevos materiales para ayudar a las pymes a cumplir con el Reglamento europeo de Protección de Datos

La Agencia Española de Protección de Datos (AEPD) ha publicado hoy nuevos materiales y recursos con los que facilitar a las pequeñas y medianas empresas su adaptación al Reglamento General de Protección de Datos (RGPD), que entró en vigor el 25 de mayo de 2016 y comenzará a aplicarse el 25 de mayo de 2018. Los materiales incluyen una ‘’Guía del Reglamento para responsables de tratamiento’’, ‘’Directrices para elaborar contratos entre responsables y encargados’’ y una ‘’Guía para el cumplimiento del deber de informar’’, todos ellos elaborados junto a la Autoridad Catalana y la Agencia Vasca de Protección de Datos.

La Agencia, en su faceta preventiva, quiere facilitar que, durante este periodo transitorio, las pymes conozcan el impacto que va a tener el Reglamento en la forma en la que tratan datos para que puedan adaptar sus procesos a la nueva normativa, ya que esta supone un cambio en el modelo de cumplimiento y exige un compromiso más activo. El objetivo es ofrecer la mayor información posible a las pymes, que suponen el 99% del tejido empresarial español. Los materiales presentados hoy son los siguientes:

Guía del Reglamento General de Protección de Datos para responsables de tratamiento. El documento recoge las principales cuestiones que las organizaciones deben tener en cuenta para cumplir con las obligaciones recogidas en el Reglamento. La Guía incluye en su parte final una Lista de verificación con la que las entidades pueden determinar si han dado los pasos necesarios para estar en condiciones de hacer una correcta aplicación del RGPD. Guía del Reglamento General de Protección de Datos para responsables de tratamiento

Algunas de las recomendaciones que se ofrecen en la Guía pueden ponerse en práctica de forma casi inmediata, porque tienen que ver con actuaciones que debieran iniciarse ya durante este periodo transitorio. En otros casos, esas recomendaciones o propuestas solo deberán tenerse en cuenta en el momento en que el RGPD sea de aplicación, aunque se han incluido para fomentar que las entidades puedan ir anticipándose al momento en el que las medidas sean de obligado cumplimiento.

Directrices para la elaboración de contratos entre responsables y encargados de tratamiento . El RGPD establece que las relaciones entre el responsable y el encargado deben formalizarse en un contrato o acto jurídico que les vincule, regulando de forma minuciosa su contenido mínimo. Estas directrices se han realizado con la finalidad de que los contratos reflejen todos los contenidos recogidos en el Reglamento.

Guía para el cumplimiento del deber de informar. El RGPD concede gran importancia a la información que debe proporcionarse a los ciudadanos cuyos datos van a tratarse, estableciendo una lista exhaustiva de los contenidos que deben ser expuestos de forma clara y accesible. Esta Guía ofrece recomendaciones y soluciones prácticas sobre los modos de proporcionar esta información.

Estos recursos están incluidos en una nueva sección web específica sobre el Reglamento, que también incorpora otros elementos que pueden resultar útiles para que las entidades puedan adaptarse de forma paulatina al RGPD. La AEPD, por otro lado, se encuentra preparando una herramienta de autoevaluación online dirigida a favorecer que pequeñas y medianas empresas puedan valorar de forma rápida y sencilla si sólo realizan tratamientos que en principio plantean un bajo o muy bajo riesgo para los derechos de los interesados, y ofrecerles el acceso a las medidas de cumplimiento que el Reglamento Europeo exige en estos casos.

ACCEDER A LA NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Las Autoridades europeas de Protección de Datos aprueban varias directrices sobre la aplicación del Reglamento

El Grupo de Autoridades europeas de protección de datos, también conocido como Grupo de Trabajo del Artículo 29, ha debatido diversas cuestiones relacionadas con la aplicación del Reglamento General de Protección de Datos durante su última reunión plenaria y ha aprobado varias directrices y documentos de preguntas frecuentes dirigidas a responsables y encargados de tratamiento. El Reglamento General de Protección de Datos será aplicable el 25 de mayo de 2018.

Las directrices aprobadas hacen referencia al derecho a la portabilidad de datos, los delegados de protección de datos (DPO, por sus siglas en inglés) y los criterios de identificación de la ‘autoridad líder’.

Las Autoridades reconocen la contribución y cooperación de las diferentes partes interesadas en la elaboración de estas directrices, en particular a través de un FabLab celebrado el pasado mes de julio y las consultas nacionales llevadas a cabo por algunos reguladores, y saludan las aportaciones que los interesados puedan hacer hasta finales de enero de 2017.

Respecto a la aplicación del acuerdo ‘Privacy Shield’, el Grupo ha adoptado herramientas de comunicación específicas para particulares y empresas. Éstas serán publicadas en la página web de las Autoridades y podrán ser utilizadas por cada autoridad nacional como base para su propia comunicación.

Asimismo, las Autoridades confirman que asumirán el papel del “órgano centralizado de la UE”, encargado de canalizar las solicitudes de reclamación relativas a los accesos por razones de seguridad nacional a datos transferidos a EEUU con fines comerciales, que se den en el marco del mecanismo del ‘Privacy Shield’.

Finalmente, el Grupo ha confirmado el restablecimiento del llamado ‘Subgrupo de Enforcement’, que coordina las acciones de supervisión y cumplimiento que efectúan las Autoridades de protección de datos en los casos transfronterizos. Este subgrupo ha aprobado la carta que remitirá a WhatsApp siguiendo el procedimiento de investigación iniciado por las Autoridades en octubre de 2016. La Agencia Española de Protección de Datos y la Autoridad holandesa coordinarán este subgrupo.

ACCEDER A LA NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

El Reglamento europeo de protección de datos y la concienciación entre ciudadanos y entidades centrarán las actuaciones de la AEPD en 2017

La Agencia Española de Protección de Datos (AEPD) ha presentado  el balance del primer año de su Plan Estratégico 2015-2019, un documento que recoge más de 110 medidas enfocadas a consolidar un organismo eficiente y participativo que permita tanto salvaguardar el derecho fundamental de los ciudadanos como colaborar con aquellas entidades que tratan datos.

Durante la presentación de las líneas estratégicas, diferentes miembros de la institución han realizado un repaso por las acciones más significativas puestas en marcha en 2016 y los retos más relevantes que debe afrontar la Agencia en 2017, destacando que la prevención y la concienciación son elementos imprescindibles para difundir y asentar una cultura de protección de datos que permita tanto que los ciudadanos sean más conscientes de cómo ejercer sus derechos como que aquellos que tratan datos aborden el fomento de la privacidad como una ventaja competitiva.

En cuanto al estado de ejecución del Plan Estratégico, la Agencia ha iniciado durante el periodo 2015-2016 la totalidad de las 76 actuaciones previstas. Del conjunto de iniciativas realizadas en 2016 hay que destacar la publicación de siete guías sobre diversas materias; las actuaciones realizadas para sensibilizar a los menores sobre la importancia de proteger su información personal en internet; la actualización de contenidos prácticos de diversa temática para orientar al ciudadano en temas como el ejercicio del derecho al olvido o cómo solicitar la eliminación de fotos y vídeos publicados en internet; o la optimización de los recursos de la Agencia, entre otros.

La AEPD, que resolvió en 2015 cerca de 11.000 denuncias y más de 2.100 reclamaciones, se enfrenta en paralelo a un reto de gran envergadura en 2017: sentar las bases para que tanto las entidades como los profesionales de la privacidad puedan adaptarse de forma paulatina al nuevo Reglamento europeo de Protección de Datos, que será de aplicación directa en mayo de 2018. En este sentido, la Agencia contempla prestar especial atención a las pymes, que constituyen el 99% del tejido empresarial español, para facilitarles herramientas y orientaciones que les permitan cumplir con la nueva legislación. Todo ello sin dejar de lado otros bloques relevantes como el lanzamiento de nuevas herramientas de prevención y concienciación para los ciudadanos y el análisis pormenorizado de nuevas tecnologías que puedan tener un gran impacto sobre la privacidad.

El Plan Estratégico de la Agencia ha sido proyectado como un documento que permite la incorporación y el desarrollo de nuevas iniciativas, el enriquecimiento de las ya existentes y la adaptación de las existentes en función del diagnóstico realizado. La AEPD mantiene abierto un Buzón de sugerencias en su página web para que ciudadanos, responsables de tratamiento, expertos en protección de datos y organizaciones públicas y privadas puedan realizar sus sugerencias y aportaciones.

Plan Estratégico 2015-2019

La AEPD publicó su Plan Estratégico a finales de 2015 tras someterlo a consulta pública y recibir casi 400 aportaciones de ciudadanos y diferentes entidades y colectivos. El documento fija los objetivos que pretende alcanzar el organismo a través una serie de iniciativas específicas estructuradas en cinco ejes: Prevención para una protección más eficaz; Innovación y protección de datos: factor de confianza y garantía de calidad; Una Agencia colaboradora, transparente y participativa; Una Agencia cercana a los responsables y a los profesionales de la privacidad; y Una Agencia más ágil y eficiente.

ACCEDER A LA NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Guía para entender el reglamento europeo de protección de datos

La norma entró en vigor el pasado 25 de mayo de 2016, aunque su exigibilidad se ha postergado expresamente dos años, hasta el próximo 25 de mayo de 2018.

Recientemente ha entrado en vigor el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (el «Reglamento»).

El Reglamento, que deroga la anterior Directiva de 1995 que se había quedado obsoleta, impone un nuevo marco normativo al conjunto de países europeos, otorgando un mayor grado de control a los ciudadanos sobre su información privada e imponiendo cambios radicales para las empresas, quienes deben empezar a adaptar sus protocolos y estructuras a la nueva regulación.

Ámbito de aplicación

El nuevo Reglamento ha ampliado notablemente su ámbito de aplicación territorial. No se restringe únicamente al espacio europeo, sino que es igualmente obligatorio para las empresas responsables o encargadas del tratamiento de datos no establecidas en la Unión Europea, siempre que ofrezcan bienes o servicios a ciudadanos que sí sean residentes o controlen el comportamiento de éstos en dicho territorio.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL 

FUENTE ORIGINAL: EXPANSION 

El Reglamento de protección de datos en 12 preguntas

El Reglamento General de Protección de Datos ha entrado en vigor el 25 de mayo de 2016. La AEPD ha elaborado este documento simplificado, que sigue el formato pregunta-respuesta, para facilitar la comprensión del nuevo marco normativo a los ciudadanos y ayudar a las organizaciones a adaptarse a los cambios que incorpora y cumplir así con sus obligaciones.

1. La entrada en vigor del Reglamento, ¿supone que ya no se aplica la Ley Orgánica de Protección de Datos española?

No. El Reglamento ha entrado en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables.

2. ¿Cuál es, entonces, el significado de que el Reglamento haya entrado en vigor?

El periodo de dos años hasta la aplicación del Reglamento tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones Europeas y también las organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.

En esos dos años, por ejemplo, los Estados miembros pueden adoptar o iniciar la elaboración de determinadas normas que sean necesarias para permitir o facilitar la aplicación del Reglamento. Esas normas no pueden ser contrarias a las disposiciones de la vigente Directiva ni tampoco ir más allá de los poderes de actuación normativa que el propio Reglamento prevé de forma explícita o implícita.

3. ¿A qué empresas u organizaciones se aplica?

El Reglamento se aplicará como hasta ahora a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.

Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades. Los datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.

4. ¿Qué implica para los ciudadanos que el Reglamento amplíe el ámbito de aplicación territorial?

Esta novedad supone una garantía adicional a los ciudadanos europeos. En la actualidad, para tratar datos no es necesario mantener una presencia física sobre un territorio, por lo que el Reglamento pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la realidad del mundo de internet.

Ello permite que el Reglamento sea aplicable a empresas que, hasta ahora, podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea.

5. ¿Qué nuevas herramientas de control de sus datos poseen los ciudadanos?

El Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.

El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.

Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.

6. ¿A qué edad pueden los menores prestar su consentimiento para el tratamiento de sus datos personales?

El Reglamento establece que la edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) es de 16 años. Sin embargo, permite rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo un límite inferior de 13 años. En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad, es necesario el consentimiento de padres o tutores.

En el caso de las empresas que recopilen datos personales, es importante recordar que el consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un lenguaje que los niños puedan entender.

7. ¿Qué implica la responsabilidad activa recogida en el Reglamento?

Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las organizaciones que tratan datos. Es lo que se conoce como responsabilidad activa. Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. Para ello, el Reglamento prevé una batería completa de medidas:

  • Protección de datos desde el diseño
  • Protección de datos por defecto
  • Medidas de seguridad
  • Mantenimiento de un registro de tratamientos
  • Realización de evaluaciones de impacto sobre la protección de datos
  • Nombramiento de un delegado de protección de datos
  • Notificación de violaciones de la seguridad de los datos
  • Promoción de códigos de conducta y esquemas de certificación.

8. Entonces, ¿supone una mayor carga de obligaciones para las empresas?

El Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos. Pero ello no implica necesariamente ni en todos los casos una mayor carga. En muchos casos será sólo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora.

En primer lugar, algunas de las medidas que introduce el Reglamento son una continuación o reemplazan a otras ya existentes, como es el caso de las medidas de seguridad o de la obligación de documentación y, hasta cierto punto, la evaluación de impacto y la consulta a Autoridades de supervisión.

Otras constituyen la formalización en una norma legal de prácticas ya muy extendidas en las empresas o que, en todo caso, formarían parte de una correcta puesta en marcha de un tratamiento de datos, como pueden ser la privacidad desde el diseño y por defecto, la evaluación de impacto sobre protección de datos en ciertos casos o la existencia de un delegado de protección de datos.

En todos los casos, el Reglamento prevé que la obligación de estas medidas, o el modo en que se apliquen, dependerá de factores tales como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento presenta para los derechos y libertades de los titulares de los datos.

Por ello, es necesario que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo. Estos análisis pueden ser operaciones muy simples en entidades que no llevan a cabo más que unos pocos tratamientos sencillos que no impliquen, por ejemplo, datos sensibles, u operaciones más complejas en entidades que desarrollen muchos tratamientos, que afecten a gran cantidad de interesados o que por sus características requieren de una valoración cuidadosa de sus riesgos.

Las Autoridades de protección de datos europeas de forma colectiva, y la Agencia Española individualmente, estamos ya trabajando en el desarrollo de herramientas que faciliten la identificación y valoración de riesgos y en recomendaciones sobre la aplicación de medidas, especialmente en relación con pymes que realizan los tratamientos de datos más habituales en la gestión empresarial.

9. ¿Cambia la forma en la que hay que obtener el consentimiento?

Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es “inequívoco”, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.

Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.

Además, el Reglamento prevé que el consentimiento haya de ser “explícito” en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.

Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

10. ¿Deben las empresas revisar sus avisos de privacidad?

Con carácter general, sí. El Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos. Si creen que hay un problema con la forma en que están manejando sus datos. Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.

11. ¿En qué consiste el sistema de ‘ventanilla única’?

Este sistema está pensado para que los responsables establecidos en varios Estados miembros o que, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la UE tengan una única Autoridad de protección de datos como interlocutora. También implica que cada Autoridad de protección de datos europea, en  lugar de analizar una denuncia o autorizar un tratamiento a nivel estrictamente nacional, a partir de la aplicación del Reglamento valorará si el supuesto tiene carácter transfronterizo, en cuyo caso habrá que abrir un procedimiento de cooperación entre todas las Autoridades afectadas buscando una solución aceptable para todas ellas. Si hay discrepancias insalvables, el caso puede elevarse al Comité Europeo de Protección de Datos, un organismo de la Unión integrado por los directores de todas las Autoridades de protección de datos de la Unión. Ese Comité resolverá la controversia mediante decisiones vinculantes para las Autoridades implicadas.

Este nuevo sistema no supone que los ciudadanos tengan que relacionarse con varias Autoridades o con Autoridades distintas de la del Estado donde residan. Siempre pueden plantear sus reclamaciones o denuncias ante su propia Autoridad nacional (en el caso español, la Agencia Española de Protección de Datos). La gestión será realizada por esa Autoridad, que será también responsable de informar al interesado del resultado final de su reclamación o denuncia.

La ventanilla única, en todo caso, no afectará a empresas que sólo estén en un Estado miembro y que realicen tratamientos que afecten sólo a interesados en ese Estado.

12. ¿Tienen las empresas que empezar a aplicar ya las medidas contempladas en el Reglamento?

No. El Reglamento está en vigor, pero no será aplicable hasta 2018.

Sin embargo, puede ser útil para las organizaciones que tratan datos empezar ya a valorar la implantación de algunas de las medidas previstas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de regirse los tratamientos de datos en España.

Por ejemplo, las organizaciones deben tener en cuenta que a partir de mayo de 2018 deberán realizar análisis de riesgo de sus tratamientos y que puede ser útil para ellas empezar desde ahora a identificar el tipo de tratamientos que realizan, el grado de complejidad del análisis que deberán llevar a cabo, etc. En esta tarea podrían utilizar las herramientas y recursos que paulatinamente vayan desarrollando las Autoridades de protección de datos.

Igualmente, nada impide que las organizaciones comiencen a planificar o a establecer el registro de tratamientos de datos o a implantar las evaluaciones de impacto o cualquiera otra de las medidas previstas.

Del mismo modo, las organizaciones podrían comenzar a diseñar e implantar los procedimientos para notificar adecuadamente a las Autoridades de protección de datos o a los interesados las quiebras de seguridad que pudieran producirse.

En general, las organizaciones que tratan datos personales deberían comenzar a preparar la aplicación de estas medidas, así como de otras modificaciones prácticas derivadas del Reglamento. Por ejemplo, el Reglamento exige que los responsables de tratamiento faciliten a los interesados el ejercicio de sus derechos. Aunque la interpretación de “facilitar” pueda variar dependiendo de los casos, incluye en todos ellos algún tipo de actuación positiva por parte de los responsables para hacer más accesibles y sencillas las vías para el ejercicio de derechos.

La ventaja de una pronta aplicación es que permitirá detectar dificultades, insuficiencias o errores en una etapa en que estas medidas no son obligatorias y, en consecuencia, su corrección o eficacia no estarían sometidas a supervisión. Ello permitiría corregir errores para el momento en que el Reglamento sea de aplicación.

LEER NOTA INFORMATIVA  COMPLETA

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

La Unión Europea aprueba el reglamento de protección de datos

El pleno del Parlamento Europeo ha aprobado al reglamento de protección de datos, cuyo objetivo es para garantizar unos estándares comunes adaptados al entorno digital. El pleno también ha dado luz verde al Registro de Pasajeros de Transporte Aéreo.

Tras más de cuatro años de intenso trabajo, el pleno del Parlamento Europeo (PE) aprobó ayer definitivamente el nuevo reglamento general de protección de datos, que reemplaza a la obsoleta directiva sobre la misma materia, ratificada en 1995.

Este nuevo texto, que entrará en vigor 20 días después de su publicación en el Diario Oficial de la UE y que será de aplicación directa en todos los estados, es un paso definitivo para armonizar las normativas vigentes de los países de la UE, para devolver a los ciudadanos el control de sus datos personales y para garantizar unos elevados estándares de protección, confianza y seguridad jurídica.

Entre las disposiciones que aparecen en este extenso trabajo legislativo hay que destacar el derecho de rectificación en Internet -conocido como derecho al olvido-, mediante la modificación o supresión de datos personales; la obligación de obtener un consentimiento claro y afirmativo de los usuarios; el derecho a ser informado sobre un posible pirateo de datos personales; así como multas de hasta el 4% de facturación global de las empresas en caso de infracción sobre estos datos.

Este paquete normativo incluye además una directiva sobre transmisión de datos para cuestiones judiciales y policiales. La intención de este texto es proteger a las personas implicadas en investigaciones policiales o procesos judiciales -víctimas, acusados o testigos- mediante la clarificación de sus derechos y el establecimiento de límites en la transmisión de datos.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: EXPANSION.COM

La UE da nuevo paso hacia la aprobación del reglamento de protección de datos

Bruselas, 13 mar (EFE).- Los ministros de Justicia de la UE dieron hoy un nuevo paso hacia la aprobación del reglamento comunitario sobre protección de datos, al cerrar dos de los capítulos en negociación sobre la llamada “ventanilla única” y sobre los principios que se aplicarán para procesar datos personales.

“Hemos alcanzado un acuerdo parcial sobre los capítulos 2, 6 y 7”, anunció la Presidencia letona de turno de la UE en un debate público, en el que recordó que la normativa no se dará por aprobada hasta que no haya un acuerdo de los Veintiocho sobre la totalidad de la misma.

Los capítulos acordados hoy tienen que ver con el mecanismo de “ventanilla única”, dirigido a facilitar la denuncia de abusos de empresas con sede extranjera en los tribunales europeos, y con los principios que regirán el tratamiento de datos personales, por ejemplo, en los sistemas nacionales de salud.

Los Estados miembros estuvieron de acuerdo en seguir avanzando, aunque algunos como Polonia mostraron su rechazo al mecanismo de “ventanilla única” y otros como Francia destacaron que, en su opinión, la normativa se ha debilitado durante la negociación con respecto al texto que presentó en un principio la Comisión Europea (CE).

Otros como Irlanda propusieron que se introduzca un sistema de revisión del funcionamiento de la “ventanilla única”, una idea que apoyaron varios países.

La comisaria europea de Justicia, Vera Jourova, recordó que ya está prevista una revisión general por parte de la Comisión cuatro años después de que la normativa entre en vigor, pero no cerró la puerta a que se lleve a cabo una evaluación más específica si los países lo consideran necesario.

Los Veintiocho se mostraron dispuestos a hacer todo lo posible por concluir las negociaciones de este reglamento en junio, e incluso mencionaron la posibilidad de alargar su reunión de este mes en Luxemburgo hasta la noche si fuera necesario.

La comisaria Jourova celebró que los países estuvieran dispuestos a trabajar duro para lograr un acuerdo bajo Presidencia letona, pero pidió a los ministros que no lo dejen todo para el último momento y propuso hacer una evaluación sobre los avances a finales de abril o en la primera quincena de mayo.

“Nuestro objetivo es llegar a un acuerdo sobre este dossier en junio”, aseguró la Presidencia letona, que aseguró que los expertos seguirán trabajando en los próximos meses para lograrlo.

La importancia de poner al día la legislación europea de protección de datos en vigor, que data de 1995, antes de la masificación de internet, se vio aumentada por los escándalos de espionaje de la NSA y la sentencia contra Google del Tribunal de Justicia de la Unión Europea (TJUE).

La CE presentó su propuesta legislativa para actualizar esta normativa en 2012 y, a su paso por el Consejo de la UE, los Estados miembros optaron por negociar por capítulos ante la dificultad de avanzar en su proceso de aprobación.

Tras el acuerdo parcial de hoy, los ministros ya han acordado un total de seis de los once capítulos que tienen que negociar en total. Entre las cuestiones aún pendientes figura el llamado “derecho al olvido” en internet: el borrado de datos personales perjudiciales y no pertinentes.

Fuente: La Vanguardia
Leer más: http://www.lavanguardia.com/vida/20150313/54428125646/la-ue-da-nuevo-paso-hacia-la-aprobacion-del-reglamento-de-proteccion-de-datos.html#ixzz3Up9ZFgGy