Con Datos Datos dispondrás de todo lo necesario para cumplir con el Reglamento General de Protección de Datos (RGPD) de la manera más ágil, sencilla y segura.

• DATOS DUAL realizará un diagnóstico previo con el fin de conocer las necesidades de la empresa, examinando los datos de los ficheros utilizados, según el nivel de Seguridad que corresponda, con el fin de regularizar adecuadamente la situación del Cliente, y asegurar la creación del control interno y en su caso el inventario de las operaciones de tratamiento realizadas según establece el RGPD.

 

• DATOS DUAL realizará un análisis por departamentos y sedes, así como la gestión de procedimientos internos según el impacto de la normativa en los distintos procesos de negocio en los que hubiese un tratamiento de datos personales que así lo requiera, aconsejando las medidas técnicas y organizativas necesarias para garantizar la seguridad de los ficheros. Se establecerá un plan de implantación, cuyo objetivo será controlar los procesos y los recursos a un cumplimiento efectivo de la normativa e implantación de medidas de seguridad, así como la formación del Responsable de Seguridad, asesorando sobre las funciones establecidas en la legislación vigente.

Además se redactará el Documento de Seguridad y las Medidas de Seguridad exigidas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y todas las cláusulas necesarias de forma personalizada.

• Datos Dual mantendrá actualizadas las medidas, procedimientos de seguridad  y estándares encaminados a garantizar las exigencias de la normativa, estableciendo un plan de seguimiento y control de las medidas adoptadas para lograr una correcta adecuación, apoyo, supervisión y control de la implantación para que sea definitiva, sostenible y exportable a otras delegaciones, en colaboración con el Responsable de Seguridad designado por el Cliente, realizando las auditorías de verificación de cumplimiento de la normativa y seguimiento de las posibles deficiencias que puedan cometer tanto usuarios como los responsables del tratamiento de los datos de carácter personal. Así mismo, en los tratamientos que contengan datos especiales se realizará la Evaluación de Impacto y Análisis de Riesgos exigido en el Reglamento General de Protección de Datos (RGPD).

 

• Datos Dual prestará asesoramiento permanente y representación ante la Agencia Española de Protección de Datos y Autoridades de Control, sobre las modificaciones que sean necesarias en cada momento para adecuar de manera continua el cumplimiento legal del Cliente en materia de Protección de Datos. Asimismo, asesorará sobre la Ley de servicios de la sociedad de la información y comercio electrónico, sobre los procedimientos a seguir para adecuar en cada acción y redacción de contratos de acceso a los datos para tratamientos por cuenta de terceros, redacción de cláusulas legales para los formularios de recogida de datos personales que deba aparecer en las páginas web disponibles para su cumplimiento legal.

 

• Datos Dual prestará a solicitud del cliente, asistencia ante una posible inspección de la Agencia Española de Protección de Datos o de procedimiento de tutela de derechos. Datos Dual asume la defensa jurídica en materia de Protección de Datos, en caso de reclamaciones o denuncias.

El concepto de dato personal queda definido en el RGPD en el  art.4.1, y en los considerandos 26, 28,29, 30, 34 y 35.   Se establece que un dato personal es “Toda información sobre una persona física identificada o identificable”, y el titular o dueño de los datos pasa a calificarse como “el interesado“. Acto seguido el RGPD determina los elementos que hacen que una persona sea identificable, añadiendo algunos nuevos que no estaban anteriormente en nuestra legislación. Queda así establecido que la identificación de una persona a los efectos de protección de datos se realiza cuando puede determinarse la identidad directa o indirectamente a través de:

 

• elementos propios de la identidad física, fisiológica, psíquica, económica y cultural o social, a los cuales se aporta como novedad el elemento genético; o
• por identificadorescomo por ejemplo el nombre, un número de identificación, datos de localización o un identificador en línea.

Queda claro por tanto que prácticamente cualquier dato que pueda identificar a una persona se postula como dato personal. Así mismo, para determinar de qué modo puede una persona ser identificable, en el considerando 26 se establece:   “Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos.”   Además, en el mismo considerando 26  se añade el concepto de información anónima (anonimización) que tiene que ver con aquellos datos que debido a su naturaleza no pueden identificar a una persona, y que viene a decir que “el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.”   A través del apartado 5 del del artículo 4 del RGPD se introduce una nueva clase de dato personal a medio camino entre el dato personal y el dato anónimo, correspondiente a la “Seudonimización: El tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;”   La seudonimización implica la existencia de datos anónimos que sin embargo permiten la identificación del interesado mediante la utilización de información adicional, que debe de encontrarse separada de los anteriores, almacenada y custodiada con las pertinentes medidas de seguridad para evitar la identificación de la persona a que pertenecen, y que el responsable del tratamiento de estos sólo concederá autorización a aquellas personas que necesiten la identificación del interesado en el ejercicio de obligaciónes o funciones determinadas  (considerando 29).   La seudonimización a diferencia de la anonimización, sí es considerada como un dato personal por el RGPD, según se establece en el considerando 26 del reglamento.

El concepto de fichero está descrito en el artículo 3.b) de la Ley Orgánica 15/1999, de 13 de diciembre, según el cual, se define el fichero como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”. Se considera responsable del tratamiento a la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realice materialmente.   En consecuencia, la empresa será responsable de tantos ficheros como conjuntos estructurados de datos, adscritos a una determinada finalidad legítima utilice. Cada conjunto estructurado de datos aplicado a una finalidad concreta constituye un fichero, con independencia de los datos de carácter personal que se incluyen.

Aquellas personas físicas o jurídicas, de naturaleza pública o privada, u órgano administrativo que realicen tratamiento de datos de carácter personal deben obligatoriamente notificar a la Agencia Española de Protección de Datos todos los ficheros que contengan datos de carácter personal (por ejemplo: fichero de pacientes, fichero de informes, fichero de nóminas, fichero de clientes, etc.) y conforme al Nuevo Reglamento General de Protección de Datos se procederá a registrar las actividades del tratamiento si la notificación se ajusta a los requisitos exigibles. Tanto para inscribir, como para suprimir o modificar la inscripción de un fichero en el Registro General de Protección de Datos, se deberá cumplimentar el modelo establecido en la Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, por la que se aprueban los formularios electrónicos a través de los que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos, así como los formatos y requerimientos a los que deben ajustarse las notificaciones remitidas en soporte informático o telemático. Cualquier modificación posterior en el contenido de la inscripción de un fichero en el RGPD, deberá comunicarse a la Agencia Española de Protección de Datos, mediante la solicitud de modificación o de supresión de la inscripción, según corresponda. Para modificar la inscripción de un fichero, previamente inscrito en el RGPD, deberá cumplimentar el formulario electrónico, la hoja de solicitud, el apartado de Modificación de la inscripción del fichero, indicando el código de inscripción asignado por la Agencia y señalando aquellos apartados que se modifican respecto a la notificación anterior, según las instrucciones que acompañan al modelo. Así mismo, únicamente se cumplimentarán los apartados que hayan sido señalados para su modificación en el apartado Modificación de la inscripción del fichero. En el caso de que notifique la supresión de un fichero, se deberá cumplimentar, del modelo de notificación, la hoja de solicitud y el apartado de Supresión, indicando el código de inscripción del fichero asignado por la Agencia. También se deberá indicar el motivo de la supresión en el texto correspondiente, y el destino de la información en el siguiente campo. La notificación de un nuevo fichero o tratamiento nunca invalida o sustituye a una inscripción previa. Si no se notifica una solicitud de supresión de la inscripción anterior se produciría un duplicado de la inscripción.

  La responsabilidad final no recae sobre la persona física sino sobre el Responsable del Fichero, es decir, sobre la empresa. Son múltiples los casos en los que, aún de forma inintencionada, se produce una vulneración por una mala actuación por parte del personal. De ahí la importancia de invertir en acciones formativas orientadas a fomentar la concienciación y capacitación de los empleados en materia de LOPD.

La cuantía de las sanciones impuestas por la Agencia de Protección de Datos varía en función a la naturaleza de los derechos personales afectados, así como a la cantidad de información tratada, los beneficios obtenidos por dicho trato o el perjuicio ocasionado a los afectados, entre otras características. En relación a lo expresado anteriormente, existen dos tipos de sanciones: Sanciones de hasta 10.000.000 o el 2% del volumen de negocio anual global del ejercicio financiero anterior por:

 

• No aplicar medidas técnicas y organizativas por defecto.
• No realizar la correspondiente Evaluación de Impacto.
• No disponer del registro de actividades de tratamiento.
• No designar un DPO.
• No notificar las brechas de seguridad.

  Sanciones de hasta 20.000.000€ o el 4% del volumen de negocio anual global del ejercicio financiero anterior por:

• No cumplir con los principios y derechos del RGPD.
• No legalizar las transferencias internacionales de datos.
• No atender las resoluciones de la Autoridades de Control.

Una dirección de e-mail se considera un dato personal, en tanto en cuanto puede identificar a su titular. Partiendo de la definición anterior, por tanto, la libreta de direcciones de Outlook es un fichero que contiene datos de carácter personal. El tratamiento de datos personales (en este caso, la dirección del e-mail) requiere el consentimiento de los titulares de los datos o bien la existencia de una Ley que lo ampare. En consecuencia, la utilización de e-mail sin consentimiento podría ser vulneración de la normativa sobre protección de datos y se podría denunciar ante la Agencia.

De conformidad con lo establecido en la normativa de aplicación sobre protección de datos, los derechos de acceso rectificación, cancelación y oposición son derechos personalísimos que únicamente pueden ser ejercitados directamente por el propio afectado. En consecuencia, los datos de las personas fallecidas no entran dentro del amparo de la LOPD ni de su Reglamento de desarrollo. Asimismo, el Real Decreto 1720/2007, permite también, en algunos casos, que las personas vinculadas familiarmente al fallecido pueden notificar al responsable del fichero el fallecimiento con la finalidad de perseguir la cancelación de los datos de aquel del fichero, sin que ello suponga un posterior derecho a ser tutelado por la AEPD.

Existen una serie de datos a los que se les presta una mayor atención debido a su sensibilidad y su carácter relacionado con el aspecto más íntimo de las personas. Esta clase de datos reciben una protección legal más fuerte a través de toda una serie de medidas expresas. Son datos especialmente protegidos aquellos relativos a:

 

• Salud
• Antecedentes penales
• Afiliación sindical
• Opción religiosa
• Orientación sexual
• Ideología
• Origen racial

• Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
• Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
• Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
• Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.
• Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.
• Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.
• Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
• Está prohibida la recogida de datos por medios fraudulentos, desleales o ilícitos.
• Con este principio lo que se trata de evitar es que se proceda a una recopilación de datos masiva que se aparte de la necesidad y finalidad para la que dichos datos pretendan ser utilizados y tratados.
• Igualmente, en base a lo expuesto y a la finalidad del tratamiento, se fija la condición de que una vez desaparezca la necesidad de su tratamiento, y por tanto la necesidad de que permanezcan almacenados dichos datos, deberán ser cancelados directamente por el Responsable del Fichero.

La LOPD establece que en estos supuestos existe un “Acceso a Datos por Cuenta de Terceros”, en el que intervienen fundamentalmente dos figuras: el Responsable del Fichero y el Encargado del Tratamiento. El Responsable del Fichero o Responsable de Tratamiento es el titular de los Ficheros de datos de carácter personal. Así la LOPD define al Responsable del Fichero como: “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decide sobre la finalidad, contenido y uso del tratamiento”. Encargado del tratamiento, en cambio, será la empresa a la que se contrata un servicio determinado que implica tratamiento de ficheros de datos de carácter personal. Esta figura es definida por la LOPD como: “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del Responsable del Tratamiento.” La relación jurídica que se establece entre el Responsable del Fichero y el Encargado del Tratamiento es una Prestación de Servicios, y como tal, deberá estar regulada en un contrato, que contenga, además, el contenido del art. 12 LOPD:

 

1. No se considerará comunicación de datos (cesión de datos) el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al Responsable del Tratamiento (Responsable del Fichero).
2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido estableciéndose expresamente que el Encargado del Tratamiento únicamente tratará los datos conforme a las instrucciones del Responsable del Tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
   1. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el art. 9 de la Ley que el encargado está obligado a implementar.
   2. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al Responsable del Tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
   3. En el caso de que el Encargado del Tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, Responsable del Tratamiento, respondiendo de las infracciones en que hubiere incurrido personalmente.

1. Por fuente accesible al público hay que entender, de acuerdo con la definición contenida en el artículo 3 de la Ley Orgánica 15/1999, “aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.”