Primeras resoluciones sancionadoras de la Agencia Española de Protección de Datos con el RGPD

Miniatura noticia

Aunque con anterioridad ya habían aparecido publicadas en la web de la AEPD resoluciones tanto de archivo como de reclamaciones de derechos (las antiguas tutelas de derechos), en los últimos días se han publicado las primeras resoluciones sancionadoras, tanto con multas económicas como las referentes a apercibimientos.

En este post, haremos un resumen de las mismas, ya que en algunos casos, sobre todo en las sancionadoras de apercibimientos, empiezan a desprenderse criterios. Y terminaremos, a modo de homenaje de la ya derogada LOPD, con dos resoluciones sancionadoras aplicando la misma, ya que aunque desde el 25 de mayo de 2018 ya es aplicable el RGPD, las reclamaciones que entraron antes de esa fecha se han tramitado conforme a la normativa anterior. (más…)


¿Puede usarse el correo electrónico almacenado en un fichero de atención al ciudadano para fomentar la participación ciudadana en un Ayuntamiento?

Miniatura noticia

La Sala de lo Contencioso-Administrativo de la Audiencia Nacional ha dictado sentencia el 22 de febrero de 2019, confirmando la resolución dictada por la Agencia Española de Protección de Datos (AEPD) que había declarado la comisión de una infracción grave por parte del Ayuntamiento de Madrid, por haber vulnerado el principio de calidad de datos de la ya derogada LOPD (artículo 4 apartados 1 y 2). (más…)


¿Cómo se computa el plazo de 72 horas para notificar una brecha de seguridad?

Miniatura noticia

El artículo 33.1 del RGPD establece que

En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.

El RGPD no dedica precepto alguno al cómputo de plazos, ni contiene remisión a otras normas para su interpretación (como si hace, por ejemplo, con lo que debe entenderse por micro empresas y pequeñas y medianas empresas) por lo que surge la pregunta de cómo deben computarse esas 72 horas: ¿son horas “hábiles” o debemos contar 72 horas “a reloj corrido”? La cuestión, por razones obvias en las que no entraré, no es moco de pavo.

Si uno consulta la Guía para la gestión y notificación de brechas de seguridad” de la AEPD tampoco encuentra respuesta a la pregunta, porque no hay referencia alguna al respecto. (más…)


Interés legítimo en el tratamiento de datos: análisis, ponderación y supuestos prácticos

Una de las cuestiones que más debate generan es la aplicación de la base legitimadora del denominado “interés legítimo” que contiene el RGPD en su artículo 6.1.f). A través de este “post”, trataremos de arrojar algo de “luz” a este asunto, realizando un análisis del mismo, cómo realizar la ponderación, así como varios ejemplos incluidos tanto en informes jurídicos elaborados por la Agencia Española de Protección de Datos como en resoluciones judiciales.

(más…)


¿Por qué la nueva LOPD ha limitado el contenido de la primera capa del derecho de información?

Miniatura noticia

Se ha hablado mucho de las novedades del RGPD, si bien algunas de ellas no eran tales, como el delegado de protección de datos (ya existía en la Directiva 95/46), las evaluaciones de impacto de protección o la privacidad por diseño/defecto (estas cuestiones habían sido trabajadas por las Autoridades de Protección de Datos si bien la novedad está que se plasman en un texto normativo).

(más…)


¿Se puede secuestrar la expresión “DPD DELEGADO DE PROTECCIÓN DE DATOS” registrándola como nombre comercial?

Miniatura noticia

Vaya por delante que esta entrada no pretende realizar una exposición magistral sobre derecho de marcas, para lo que no estoy capacitado, sino que está escrita a vuelapluma connel objetivo dar difusión  a una situación como mínimo chocante.

Hace pocos días en un grupo de Whatsapp de intercambio de conocimiento entre profesionales de la privacidad alguien comentó que le habían dicho que era inminente el registro como marca de “Delegado de Protección de Datos”.

Incrédulo, entré en el buscador de la Oficina Española de Patentes y Marcar, tecleando como criterio de búsqueda “DPD” y… sorpresa, resulta que está en curso el registro como nombre comercial, expediente N0387446(X), la expresión DPD DELEGADO DE PROTECCIÓN DE DATOS, así, a pelo, denominativa pura y dura, para la siguiente clase y servicios: (45) Servicios de Seguridad para la protección física de bienes materiales y personas; consultoría de protección de datos.

De acuerdo con el artículo 87 de la vigente  Ley de Marcas, se entiende  por nombre comercial todo signo susceptible de representación gráfica que identifica a una empresa en el tráfico mercantil y que sirve para distinguirla de las demás empresas que desarrollan actividades idénticas o similares. (más…)


12 curiosidades del RGPD (Reglamento General de Protección de Datos)

Miniatura noticia

Uno de los primeros documentos elaborados por la Agencia Española de Protección de Datos (AEPD) sobre el RGPD contemplaba 12 preguntas-respuestas, entre las que se incluía, por ejemplo, que implica la responsabilidad activa o cuál es la forma de obtener el consentimiento.

En homenaje a dicho documento, y utilizando también esa cifra, estas son las 12 curiosidades del RGPD.

(más…)


Crossover entre el RGPD y la nueva LOPD

El siguiente documento, titulado “Crossover entre el RGPD y la nueva LOPD”, que se ofrece de forma gratuita, constituye una herramienta para ayudar a todos aquellos que se dedican a la protección de datos.

El documento se ha estructurado de la siguiente forma: cada uno de los artículos del RGPD con sus considerandos, y a su vez, los artículos de la LOPD que le corresponden.

Aunque se sigue el orden del RGPD, en ocasiones he alterado su orden (mismamente sus considerando no están ordenados) con la finalidad de que sea más claro, y sobre todo en relación a su vez con el contenido de la nueva LOPD.

Descarga:

Crossover-entre-el-RGPD-y-la-nueva-LOPD_FJavierSempere.pdf (4751 descargas)

Modelo cláusula informativa para clientes de un abogado adaptada a la nueva LOPD y RGPD

Miniatura noticia

Estaba esperando a tener el texto definitivo de la norma para subir este modelo. Aprobado ayer en el Senado sin modificaciones el Proyecto de Ley remitido por el Congreso, podemos dar por cerrado, a la espera de numeración y publicación en el BOE, el texto normativo de la nueva LOPD, a la que, por cierto, espero que al menos en el sector profesional sigamos refiriéndonos así, eleopedé, con independencia de la incorporación a su articulado y título lo de “y garantía de los derechos digitales”. Ya ha costado arraigar en la sociedad LOPD como para que ahora vayamos a empezar a despistar al personal con LOPDGDD, que es como intentar decir “Pamplona” comiéndote un polvorón.

Pero, en fin, a lo que iba: hace unos meses puse a disposición de mi colegio profesional, el de las Islas Baleares, el modelo de cláusula informativa que ofrezco a mis clientes. El colegio la ha colgado en la zona privada para colegiados de la web y parece ser que está teniendo cierto éxito, pues ya son varios (más de uno, sí, y sin vínculo familiar conmigo) los compañeros que me han dicho que la han incorporado a sus documentos de trabajo. Vamos, al menos nadie ha aparecido por el despacho para tirarme huevos o tomates, por lo que muy mal no estará.

Así que, una vez actualizada con las menciones expresas que hace la nueva LOPD al tratamiento por parte de los abogados de datos relativos a condenas e infracciones penales y a infracciones y sanciones administrativas, me he animado a compartir con quienes lo deseen mi modelo de documento informativo, sobre el que realizo las siguientes consideraciones: (más…)