Primeras resoluciones sancionadoras de la Agencia Española de Protección de Datos con el RGPD

Miniatura noticia

Aunque con anterioridad ya habían aparecido publicadas en la web de la AEPD resoluciones tanto de archivo como de reclamaciones de derechos (las antiguas tutelas de derechos), en los últimos días se han publicado las primeras resoluciones sancionadoras, tanto con multas económicas como las referentes a apercibimientos.

En este post, haremos un resumen de las mismas, ya que en algunos casos, sobre todo en las sancionadoras de apercibimientos, empiezan a desprenderse criterios. Y terminaremos, a modo de homenaje de la ya derogada LOPD, con dos resoluciones sancionadoras aplicando la misma, ya que aunque desde el 25 de mayo de 2018 ya es aplicable el RGPD, las reclamaciones que entraron antes de esa fecha se han tramitado conforme a la normativa anterior. (más…)


¿Puede usarse el correo electrónico almacenado en un fichero de atención al ciudadano para fomentar la participación ciudadana en un Ayuntamiento?

Miniatura noticia

La Sala de lo Contencioso-Administrativo de la Audiencia Nacional ha dictado sentencia el 22 de febrero de 2019, confirmando la resolución dictada por la Agencia Española de Protección de Datos (AEPD) que había declarado la comisión de una infracción grave por parte del Ayuntamiento de Madrid, por haber vulnerado el principio de calidad de datos de la ya derogada LOPD (artículo 4 apartados 1 y 2). (más…)


¿Cómo se computa el plazo de 72 horas para notificar una brecha de seguridad?

Miniatura noticia

El artículo 33.1 del RGPD establece que

En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.

El RGPD no dedica precepto alguno al cómputo de plazos, ni contiene remisión a otras normas para su interpretación (como si hace, por ejemplo, con lo que debe entenderse por micro empresas y pequeñas y medianas empresas) por lo que surge la pregunta de cómo deben computarse esas 72 horas: ¿son horas “hábiles” o debemos contar 72 horas “a reloj corrido”? La cuestión, por razones obvias en las que no entraré, no es moco de pavo.

Si uno consulta la Guía para la gestión y notificación de brechas de seguridad” de la AEPD tampoco encuentra respuesta a la pregunta, porque no hay referencia alguna al respecto. (más…)


Interés legítimo en el tratamiento de datos: análisis, ponderación y supuestos prácticos

Una de las cuestiones que más debate generan es la aplicación de la base legitimadora del denominado “interés legítimo” que contiene el RGPD en su artículo 6.1.f). A través de este “post”, trataremos de arrojar algo de “luz” a este asunto, realizando un análisis del mismo, cómo realizar la ponderación, así como varios ejemplos incluidos tanto en informes jurídicos elaborados por la Agencia Española de Protección de Datos como en resoluciones judiciales.

(más…)


¿Se puede secuestrar la expresión “DPD DELEGADO DE PROTECCIÓN DE DATOS” registrándola como nombre comercial?

Miniatura noticia

Vaya por delante que esta entrada no pretende realizar una exposición magistral sobre derecho de marcas, para lo que no estoy capacitado, sino que está escrita a vuelapluma connel objetivo dar difusión  a una situación como mínimo chocante.

Hace pocos días en un grupo de Whatsapp de intercambio de conocimiento entre profesionales de la privacidad alguien comentó que le habían dicho que era inminente el registro como marca de “Delegado de Protección de Datos”.

Incrédulo, entré en el buscador de la Oficina Española de Patentes y Marcar, tecleando como criterio de búsqueda “DPD” y… sorpresa, resulta que está en curso el registro como nombre comercial, expediente N0387446(X), la expresión DPD DELEGADO DE PROTECCIÓN DE DATOS, así, a pelo, denominativa pura y dura, para la siguiente clase y servicios: (45) Servicios de Seguridad para la protección física de bienes materiales y personas; consultoría de protección de datos.

De acuerdo con el artículo 87 de la vigente  Ley de Marcas, se entiende  por nombre comercial todo signo susceptible de representación gráfica que identifica a una empresa en el tráfico mercantil y que sirve para distinguirla de las demás empresas que desarrollan actividades idénticas o similares. (más…)


12 curiosidades del RGPD (Reglamento General de Protección de Datos)

Miniatura noticia

Uno de los primeros documentos elaborados por la Agencia Española de Protección de Datos (AEPD) sobre el RGPD contemplaba 12 preguntas-respuestas, entre las que se incluía, por ejemplo, que implica la responsabilidad activa o cuál es la forma de obtener el consentimiento.

En homenaje a dicho documento, y utilizando también esa cifra, estas son las 12 curiosidades del RGPD.

(más…)


Apuntes sobre el tratamiento de datos por los partidos políticos para fines electorales en la nueva LOPD.

Como muchos de nuestros lectores sabrán, se está tramitando una nueva LOPD (aunque su nueva denominación es Ley Orgánica de Protección de Datos y de Garantías de Derechos Digitales, siempre la nombraré como “LOPD”, ya que no entiendo muy bien qué pinta el nuevo Título X sobre los citados derechos digitales en esta Ley), de la que se prevé que se apruebe a finales de este año, ya que se encuentra en la actualidad en fase de tramitación en el Senado.

(más…)


Abogados: codirección técnica de asuntos y corresponsabilidad art. 26 RGPD. ¿Cómo documentarlo?

Miniatura noticia

¿Es usted  abogado y lleva a medias con un compañero de otro despacho un asunto, sin relación de subordinación, sino en plano de igualdad? Es decir, ambos establecen de forma conjunta el enfoque del asunto, posición, planteamiento escritos, asumen de forma conjunta la dirección técnica del asunto. Si es así, muy posible que nos encontremos ante un supuesto de corresponsabilidad del artículo 26 RGPD.

De acuerdo con dicho precepto, los corresponsables deben

1.- Determinar de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información a que se refieren los artículos 13 y 14, salvo, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los interesados.

2.- El acuerdo indicado en el apartado 1 reflejará debidamente las funciones y relaciones respectivas de los corresponsables en relación con los interesados. Se pondrán a disposición del interesado los aspectos esenciales del acuerdo.

3.Independientemente de los términos del acuerdo a que se refiere el apartado 1, los interesados podrán ejercer los derechos que les reconoce el presente Reglamento frente a, y en contra de, cada uno de los responsables.

Por tanto, no queda otra que ponerse a redactar para documentar lo anterior, recogiendo en el texto del acuerdo, como mínimo en mi opinión, los siguientes puntos: (más…)


¿Cuántos años puede un abogado guardar un expediente una vez finalizado? 5 ó 15 no es siempre la respuesta correcta

Miniatura noticia

Una de las preguntas más habituales que le suele plantear un cliente abogado al asesor en materia de protección de datos es la siguiente: “Desde que termino un expediente, ¿cuánto tiempo lo puedo conservar?’”… Bueno en el fondo lo que dicen es “oye, en treinta años de ejercicio no he tirado un expediente… ¿lo estoy haciendo bien?”

Y ahí le tienes que explicar que, dentro del principio de calidad en el tratamiento de los datos de carácter personal ya el artículo 4 de la LOPD establecía que eso de quedarte ad eternum con los expedientes, nones, porque su apartado 4 prevé que los datos de carácter personal deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la que fueron recabados o registrados.

Y luego sigues contándole que esa idea es la misma que se recoge dentro de los principios del artículo 5.1 del erregepedé:

Los datos personales serán mantenidos de forma que se permita la identificación de los afectados no más tiempo del necesario para los fines del tratamiento. Podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo de interés público, fines de investigación científica e histórica o fines estadísticos, sin perjuicio de la aplicación de las correspondientes medidas técnicas y organizativas apropiadas que impone el RGPD.

Una vez aclarado que el abogado no puede seguir guardando los expedientes toooooda su vida profesional (y no sirve como argumento el “es que va ser tirar un documento y justo llamarme el cliente para preguntarme si por casualidad guardo los papeles de ese asunto que le llevé hace 20 años”), la siguiente pregunta será “vale. ¿Y cuánto tiempo los puedo guardar”?

Y la respuesta será “possssss… no más tiempo del necesario para los fines del tratamiento”. De ahí podríamos deducir que finalizado (¡¡¡ y cobrado!!!) un asunto, ale, ya no lo puedo conservar más. Pero tenemos que pensar que el abogado siempre puede ser objeto de reclamación derivada de su actividad profesional, por lo que resulta de lo más conveniente poder conservar el expediente para, llegado el caso, poder hacer frente a esa reclamación y acreditar la corrección de nuestra actuación, conservación que viene amparada en mi opinión en la letra f) del apartado 1 del artículo 6 del erregepedé: el interés legítimo.

¿Y cuál es ese plazo durante el que le  pueden presentar al abogado una reclamación derivada de su actividad profesional? Siempre desde la perspectiva civil, tendré que acudir al Código Civil, y en concreto a sus artículos 1961 a 1975. Y como no hay un artículo específico que contemple un plazo determinado de prescripción para este tipo de acción, deberemos centrarnos en el 1964.2, que establece que

Las acciones personales que no tengan plazo especial prescriben a los cinco años desde que pueda exigirse el cumplimiento de la obligación. En las obligaciones continuadas de hacer o no hacer, el plazo comenzará cada vez que se incumplan.

Así que podría responderle al cliente que puede guardar los expedientes 5 años.

¿Y ya está? Pues no. Anda, ¿y por qué no?

Porque ese plazo de cinco años fue introducido por la Disposición final primera de la Ley 42/2015, de 5 de octubre, de reforma de la Ley 1/2000, de 7 de enero, de Ley de Enjuiciamiento Civil, siendo el plazo previsto en ese precepto antes de la reforma de quince años.

Eso nos tiene que llevar a fijarnos en cuándo entró en vigor esa modificación. La Ley 42/2015 se publicó en el BOE el 6 de octubre de 2015, y su Disposición final duodécima, apartado 1º, que establece la entrada en vigor de la norma el día siguiente al de su publicación en el BOE, es decir, el 7 de octubre de 2015.

A tenor de esa información podríamos comunicar al compañero y cliente que el plazo de prescripción e indirectamente de conservación del expediente dependerá de la fecha en la que éste se entienda finalizado. Así, si finalizó antes del 7 de octubre de 2015, el plazo sería de 15 años y si lo terminamos del 7 de octubre de 2015 en adelante el plazo se reduciría a 5 años.

¿Sería esa respuesta correcta? No. ¿Y a santo de qué?

Porque la Disposición Transitoria 5ª de la Ley 42/2015 regula el régimen de prescripción aplicables a las relaciones ya existentes en el momento de entrada en vigor de la Ley, y remite para ello al artículo 1939 del Código Civil:

El tiempo de prescripción de las acciones personales que no tengan señalado término especial de prescripción, nacidas antes de la fecha de entrada en vigor de esta Ley, se regirá por lo dispuesto en el artículo 1939 del Código Civil.

¿Y qué nos dice el artículo 1939 del Código Civil?

La prescripción comenzada antes de la publicación de este Código se regirá por las leyes anteriores al mismo; pero si desde que fuere puesto en observancia transcurriese todo el tiempo en él exigido para la prescripción, surtirá ésta su efecto, aunque por dichas leyes anteriores se requiriese mayor lapso de tiempo.

¿Y esto cómo se traduce en la práctica? En mi opinión de la siguiente forma:

Expedientes finalizados desde el 7 (inclusive) de octubre de 2015 en adelante, el plazo de prescripción (y de conservación) será de 5 años.

Expedientes finalizados antes del 7 de octubre de 2015:

  • Si desde el 7 de octubre de 2015 quedan menos de cinco años para que transcurra el plazo de quince años previsto en el art. 1964 antes de la reforma, lo que quede de plazo original.
  • Si desde el 7 de octubre de 2015 quedan más de cinco años para que transcurra el plazo de quince años previsto en el art. 1964 antes de la reforma, cinco años a contar desde el 7 de octubre de 2015, es decir, hasta el 7 de octubre de 2020.
  • Si antes del 7 de octubre ya había transcurrido el plazo de 15 años previsto en el art. 1964 antes de la reforma… hace tiempo, compañero, que no deberías estar en posesión del expediente.

Y todo ello, por supuesto, sin perder de vista que el plazo de prescripción de ejercicio de la acción se puede interrumpir, artículo 1973 del Código Civil, y ello supone, siendo la prescripción de acciones extintiva, el reinicio del plazo, lo que justificaría seguir manteniendo el expediente.

Por último, una advertencia: lo anteriormente expuesto no tiene en cuenta las obligaciones de conservación de determinada documentación que puede imponer la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y financiación del terrorismo, a la que me remito en cuanto al contenido y alcance de esas obligaciones.

Espero que os haya resultado de interés y, sobre todo, de utilidad.


¿Qué va a pasar con los contratos de encargado de tratamiento en vigor concertados antes del 25 de mayo de 2018?

Miniatura noticia

Actualización al pie de la entrada, 8 de agosto 2018.

A partir del 25 de mayo de 2018 todo contrato que se concierte que implique la prestación de un servicio que pueda considerarse como un tratamiento por  cuenta de terceros deberá  tener en cuenta todo lo recogido en el artículo 28 del RGPD.

Ahora bien, llegada esa fecha lo normal es que en cualquier organización nos encontremos con contratos de encargado de tratamiento en vigor concertados bajo el régimen de la LOPD y el RDLOPD que, lógicamente, no cumplen todas las prescripciones del nuevo reglamento europeo.

Dichos contratos no quedarían automáticamente revocados con la aplicabilidad del RGPD, sino que, de acuerdo con las previsiones de la nueva normativa española, actualmente en fase de tramitación, mantendrán su vigencia durante un plazo determinado, debiendo durante el mismo ser adaptados a las nuevas exigencias del RGPD si se quieren mantener pasado ese plazo transitorio.

Ese régimen transitorio se recogería en la disposición transitoria quinta del proyecto de LOPD en los siguientes términos: (más…)