Evaluación de impacto de privacidad

¿Qué es una evaluación de impacto de privacidad (evaluación de impacto relativa a la protección de datos)?

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (conocido como Reglamento General de Protección de Datos, GDPR o RGPD) no nos define qué es una evaluación de impacto de privacidad, aunque sí indica cuándo debe realizarse y su contenido mínimo.

Una definición de lo que es una evaluación de impacto de privacidad la tenemos en el documento que recoge las Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679, adoptadas el 4 de abril de 2017, y revisadas por última vez y adoptadas el 4 de octubre de 2017, del Grupo de “Protección de Datos” del artículo 29.

En el mencionado documento se nos define la evaluación de impacto como un proceso, que se concibe para describir un tratamiento de datos, poder evaluar la necesidad de tal tratamiento además de su proporcionalidad, y que sirve para gestionar los riesgos derivados de ese tratamiento que puedan darse para los derechos y libertades de las personas físicas titulares de datos, y que al gestionar esos riesgos podremos evaluarlos y determinar las medidas para afrontarlos.

En definitiva será un instrumento fundamental, una herramienta con carácter preventivo, que servirá para poder rendir cuentas como responsables del tratamiento; nos permitirá cumplir con la responsabilidad proactiva recogida en el RGPD (cumplir los principios relativos al tratamiento y ser capaz de demostrarlo).

¿Cuándo debe realizarse una evaluación de impacto de privacidad?

Para responder a esta pregunta, debemos acudir al artículo 35 del RGPD, que establece que cuando sea probable que un tipo de tratamiento, en particular, si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, la mencionada evaluación de impacto de las operaciones de tratamiento en la protección de datos personales.

Se permite la posibilidad de que una única evaluación de impacto podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares. Es decir, una evaluación de impacto puede ser realizada en relación al tratamiento de datos que va a llevarse a cabo por una empresa u organización con un servicio o producto basado en la tecnología, y no tiene que llevarse a cabo en relación a otros tratamientos de datos que lleve a cabo la empresa.

Por su parte, la Agencia Española de Protección de Datos ha publicado una lista de tratamientos de datos que requieren una evaluación de impacto (el documento puede descargarse en el siguiente enlace)

La lista es una lista no exhaustiva, y habrá que realizar la EIPD en el caso de que el tratamiento cumpla con dos o más criterios de los siguientes:

– Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y

comportamiento), que cubran varios aspectos de su personalidad o sobre sobre sus

hábitos.

– Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en

gran medida a la toma de tales decisiones.

– Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva.

– Tratamientos que impliquen el uso de categorías especiales de datos (datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual) y de datos relativos a condenas o infracciones penales o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.

– Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de

manera única a una persona física.

– Tratamientos que impliquen el uso de datos genéticos para cualquier fin.

– Tratamientos que impliquen el uso de datos a gran escala.

– Tratamientos que impliquen la asociación, combinación o enlace de registros de bases de datos de dos o más tratamientos con finalidades diferentes o por responsables distintos.

– Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo

datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados,

personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia

– Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de

tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de

recogida y utilización de datos con riesgo para los derechos y libertades de las personas.

– Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un

servicio o ejecutar un contrato.

Lo que va a determinar la obligación de llevar a cabo una EIPD es la posibilidad de que exista un alto riego para los derechos y libertades de las personas físicas.

En el caso de que exista duda, sobre si estamos obligados o no a llevar a cabo una EIPD, conviene realizarla.

¿Cuál debe ser su contenido mínimo?

La EIPD debe contener al menos la siguiente información:

– Una definición detallada y sistemática de las operaciones de tratamiento que se hayan previsto realizar y de las finalidades del tratamiento, inclusive, cuando proceda, el interés legítimo que se persiga.

– Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento de datos en relación con su finalidad.

– Una evaluación de los riesgos para los derechos y libertades de los titulares de los datos.

– Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y que demuestren la conformidad con lo establecido en el RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Artículo escrito por ANDONI GARCIA IMAZ – GUIPUZCOA

Los Derechos sobre los datos personales en el Reglamento General de Protección de Datos

¿Sabes cuales son tus derechos sobre los datos personales que tratan las empresas?, ¿sabes cómo ejercerlos?, ¿sabes como garantizar estos derechos como empresario?

Tus derechos.

¿Qué derechos son estos?

Los habrás oído alguna vez, seguro que los conoces: los famosos derechos ARCO (acceso, rectificación, cancelación, oposición). Además, con la entrada en vigor del RGPD, se añaden dos derechos más: el derecho de portabilidad y el derecho al olvido. Además de tener el derecho de limitar el tratamiento y no ser objeto de decisiones automatizadas. Los vemos.

1. Derecho de acceso (Art. 15 RGPD).

El derecho de acceso es tu derecho a dirigirte al responsable del tratamiento para conocer si está tratando o no tus datos de carácter personal y, en el caso de que se esté realizando dicho tratamiento, obtener la siguiente información:

  • Una copia de tus datos personales que son objeto del tratamiento
  • Los fines del tratamiento.
  • Las categorías de datos personales que se traten
  • Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular, los destinatarios en países terceros u organizaciones internacionales
  • El plazo previsto de conservación de los datos personales, o si no es posible, los criterios utilizados para determinar este plazo
  • La existencia del derecho del interesado a solicitar al responsable: la rectificación o supresión de sus datos personales, la limitación del tratamiento de sus datos personales u oponerse a ese tratamiento
  • El derecho a presentar una reclamación ante una Autoridad de Control
  • Cuando los datos personales no se hayan obtenido directamente de ti, cualquier información disponible sobre su origen
  • La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y al menos en tales casos, información significativa sobre la lógica aplicada, la importancia y las consecuencias previstas de ese tratamiento para el interesado
  • Cuando se transfieran datos personales a un tercer país o a una organización internacional, tienes derecho a ser informado de las garantías adecuadas en las que se realizan las transferencias.

2. Derecho de rectificación (art. 16 RGPD)

El ejercicio de este derecho supone que podrás obtener la rectificación de tus datos personales cuando sean inexactos sin dilación indebida del responsable del tratamiento.

Teniendo en cuenta los fines del tratamiento, tienes derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

En tu solicitud deberás indicar a qué datos te refieres y la corrección que hay que realizar. Además, cuando sea necesario, deberás acompañar tu solicitud de la documentación que justifique la inexactitud o el carácter incompleto de tus datos.

3. Derecho de oposición al tratamiento de decisiones automatizadas (Art. 21 RGPD).

Este derecho, como su nombre indica, supone que te puedes oponer a que el responsable realice un tratamiento de los datos personales en los siguientes supuestos:

Cuando sean objeto de tratamiento basado en una misión de interés público o en el interés legítimo, incluido la elaboración de perfiles:

  • El responsable dejará de tratar los datos salvo que acredite motivos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones

Cuando el tratamiento tenga como finalidad la mercadotecnia directa, incluida también la elaboración de perfiles anteriormente citada:

  • Ejercitado este derecho para esta finalidad, los datos personales dejarán de ser tratados para dichos fines.

4. Derecho de supresión (“al olvido”) (art. 17 RGPD).

Podrás ejercitar este derecho ante el responsable solicitando la supresión de sus datos de carácter personal cuando concurra alguna de las siguientes circunstancias:

  • Si tus datos personales ya no son necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo
  • Si el tratamiento de tus datos personales se ha basado en el consentimiento que prestaste al responsable, y retiras el mismo, siempre que el citado tratamiento no se base en otra causa que lo legitime
  • Si te has opuesto al tratamiento de tus datos personales al ejercitar el derecho de oposición en las siguientes circunstancias
    • El tratamiento del responsable se fundamentaba en el interés legítimo o en el cumplimiento de una misión de interés público, y no han prevalecido otros motivos para legitimar el tratamiento de tus datos
    • A que tus datos personales sean objeto de mercadotecnia directa, incluyendo la elaboración perfiles relacionada con la citada mercadotecnia
  • Si tus datos personales han sido tratados ilícitamente
  • Si tus datos personales deben suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento
  • Si los datos personales se han obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1 (condiciones aplicables al tratamiento de datos de los menores en relación con los servicios de la sociedad de la información).

Además, el RGPD al regular este derecho lo conecta de cierta forma con el denominado “derecho al olvido”, de manera que este derecho de supresión se amplíe de tal forma que el responsable del tratamiento que haya hecho públicos datos personales esté obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos.

No obstante, este derecho no es ilimitado, de tal forma que puede ser factible no proceder a la supresión cuando el tratamiento sea necesario para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, por razones de interés público, en el ámbito de la salud pública, con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones.

5 Derecho a la limitación del tratamiento (art. 18 RGPD)

Este nuevo derecho consiste en que obtengas la limitación del tratamiento de tus datos que realiza el responsable, si bien su ejercicio presenta dos vertientes:

Puedes solicitar la suspensión del tratamiento de tus datos:

  • Cuando impugnes la exactitud de tus datos personales, durante un plazo que permita al responsable su verificación
  • Cuando te hayas opuesto al tratamiento de tus datos personales que el responsable realiza en base al interés legítimo o misión de interés público, mientras aquel verifica si estos motivos prevalecen sobre los tuyos

Solicitar al responsable la conservación tus datos:

  • Cuando el tratamiento sea ilícito y te has opuesto a la supresión de tus datos y en su lugar solicitas la limitación de su uso.
  • Cuando el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones.

6. Derecho a la portabilidad (art. 20 RGPD)

La finalidad de este nuevo derecho es reforzar aún más el control de tus datos personales, de forma que cuando el tratamiento se efectúe por medios automatizados, recibas tus datos personales en un formato estructurado, de uso común, de lectura mecánica e interoperable, y puedas transmitirlos a otro responsable del tratamiento, siempre que el tratamiento se legitime en base al consentimiento o en el marco de la ejecución de un contrato.

No obstante, este derecho, por su propia naturaleza, no se puede aplicar cuando el tratamiento sea necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable.

7. Derecho a no ser objeto de decisiones individuales automatizadas.

Este derecho pretende garantizar que no seas objeto de una decisión basada únicamente en el tratamiento de tus datos, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre ti o te afecte significativamente de forma similar.

Sobre esta elaboración de perfiles, se trata de cualquier forma de tratamiento de tus datos personales que evalúe aspectos personales, en particular analizar o predecir aspectos relacionados con tu rendimiento en el trabajo,  situación económica, salud, las preferencias o intereses personales, fiabilidad o el comportamiento.

No obstante, este derecho no será aplicable cuando:

  • Sea necesario para la celebración o ejecución de un contrato entre tú y el responsable
  • El tratamiento de tus datos se fundamente en tu consentimiento prestado previamente

No obstante, en estos dos primeros supuestos, el responsable debe garantizar tu derecho a obtener la intervención humana, expresar tu punto de vista e impugnar la decisión.

  • Esté autorizado por el Derecho de la Unión o de los Estados miembros y se establezcan medidas adecuadas para salvaguardar los derechos y libertades e intereses legítimos del interesado.

A su vez, estas excepciones no se aplicarán sobre las categorías especiales de datos (art.9.1), salvo que se aplique el artículo 9.2.letra a) o g) y se hayan tomado las medidas adecuadas citadas en el párrafo anterior.

¿Cómo ejercerlos?

Estos derechos deberán ejercerse ante el responsable del tratamiento mediante una solicitud, que será la persona encargada, por un lado, de tratar tus datos personales en el ejercicio de su actividad, y, de otra, de garantizar tus derechos frente al tratamiento. Entre otros derechos y garantías, nos encontramos con el ejercicio de estos derechos.

El ejercicio de estos derechos es gratuito, aunque no siempre puede serlo. Es decir, el Responsable del Tratamiento podrá cobrar un canon proporcional a los costes administrativos soportados, siempre que las solicitudes sean manifiestamente infundadas o excesivas (p.ej. repetitivas). Si fuesen infundadas podrá negarse a actuar.

El responsable está obligado a informarte sobre los medios para ejercitar estos derechos. Estos medios deben ser accesibles y no se puede denegar este derecho por el solo motivo de que optes por otro medio. En cualquier caso, deberás acreditar la identidad.

Si la solicitud se presenta por medios electrónicos, la información se facilitará por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo.

Puedes ejercer los derechos directamente o por medio de tu representante legal o voluntario

Cabe la posibilidad de que el encargado sea quien atienda tu solicitud por cuenta del responsable si ambos lo han establecido en el contrato o acto jurídico que les vincule.

Plazo para responder.

Las solicitudes deben responderse en el plazo de un mes, aunque, si se tiene en cuenta la complejidad y número de solicitudes, se puede prorrogar el plazo otros dos meses más, debiendo ser notificado al interesado. Si el responsable no da curso a la solicitud, informará y a más tardar en un mes, de las razones de su no actuación y la posibilidad de reclamar ante una Autoridad de Control, en el caso español, la Agencia Española de Protección de Datos.

¿Qué pasa si soy responsable y del tratamiento y no respondo la solicitud?

En función del caso particular, de las medidas adoptadas durante el procedimiento y de la buena o mala fe, el procedimiento podrá ser archivado si se ha llevado ha contestado la solicitud en el curso del mismo, un requerimiento o apercibimiento para que se subsane o una multas administrativa pueden alcanzar los 20.000.000 de euros o el 4% de la facturación anual si esta es mayor que la cifra anterior. El elenco de infracciones no es pequeño y las obligaciones pasan a ser de gran calado si uno no está adaptado al RGPD.

Es importante que se distinga que las multas y sanciones son individualizadas según determinadas circunstancias de la infracción y de la empresa. No se considera igual la desatención de un derecho de acceso de una ferretería pequeña, que de una compañía telefónica o una red social. Esto lo tiene en cuenta la APED a la hora de graduar la sanción.

Artículo escrito por DD-ABOGADOS – ALBACETE

Introducción a los Derechos de consumidores y usuarios

En el presente post hablaremos sobre los derechos que nos asisten cuando somos consumidores o usuarios, es decir, cuando adquirimos un bien o un servicio no siendo para nuestra actividad mercantil o empresarial.

En nuestra Constitución Española recoge una protección especial a los consumidores y usuarios en el artículo 51:

1. Los poderes públicos garantizarán la defensa de los consumidores y usuarios, protegiendo, mediante procedimientos eficaces, la seguridad, la salud y los legítimos intereses económicos de los mismos.

2. Los poderes públicos promoverán la información y la educación de los consumidores y usuarios, fomentarán sus organizaciones y oirán a éstas en las cuestiones que puedan afectar a aquéllos, en los términos que la ley establezca.

3. En el marco de lo dispuesto por los apartados anteriores, la ley regulará el comercio interior y el régimen de autorización de productos comerciales”.

Este artículo se configura como uno de los principios rectores de la política social y económica. El legislador optó por aprobar una ley general dirigida a cumplir el mandato del artículo 51CE, mediante la aprobación de la Ley 26/1984. Actualmente se regula mediante Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.

En el ámbito europeo de protección a los consumidores y usuarios aprobó la directiva 2011/83/UE del Parlamento Europeo y del Consejo, de 25 de octubre de 2011 , sobre los derechos de los consumidores.

Pero ¿qué derechos tiene un consumidor?

Podemos enumerar los derechos de los consumidores de la siguiente forma:

  • Tener toda la información antes de realizar la compra, recibiendo una información honesta y veraz por parte del empresario.
  • Durante la compra tenemos que conocer todas las condiciones de la compra y su precio total.
  • Después de la compra el consumidor tiene el derecho a comprobar el artículo, con una garantía, derecho a reclamación, derecho de devolución del artículo o cambio por otro. También tendrá el consumidor de los servicios técnicos en caso de avería.

¿entre particulares también tenemos derechos?

En la venta entre particulares no hay una obligación de dar una garantía, sin embargo si se puede acordar si surgen averías.

También debemos diferenciar entre los vicios o defectos ocultos, estos sí estarán amparados por un plazo de 6 meses desde que se tuvo conocimiento de los mismos.

¿Puede existir una responsabilidad penal por parte del empresario?

Debemos afirmar que si, se puede cometer delitos contra el mercado y los consumidores, según lo dispuesto en los artículos 278 a 286 del Código Penal. Si que es más cierto que por el principio de intervención mínima o principio de última ratio del derecho penal es en contadas ocasiones en los que un empresario estaría cometiendo este delito, generalmente, salvo en los casos más graves, el empresario competerá una infracción civil y o administrativa.

Queremos impulsar la protección a los consumidores para apoyar a cualquier persona que se le vulneren dichos derechos anunciados anteriormente.

Artículo escrito por NOVA LEY ABOGADOS – MURCIA