Parecía que no iba a llegar nunca, pero ¡por fín han finalizado las infinitas prórrogas del plazo para que los distintos Grupos Parlamentarios presenten sus enmiendas al Proyecto de la LOPD 2.0!
Desde Privacidad Lógica hemos entrado en contacto con los distintos Grupos a fin de que nos faciliten sus respectivas propuestas y poder ofrecerlas a todos los interesados desde este blog. A medida que las vayamos recibiendo las iremos subiendo, para que las podáis descargar.
¿Cuáles se aceptarán y cuáles se rechazarán? Pues con la composición de las cámaras esta legislatura vayan ustedes a saber. Vamos a ver cómo sale finalmente la Ley del Parlamento… y cuándo, que esta es otra: el 25 de mayo está a la vuelta de la esquina.
Esperamos que la información que os ofrecemos sea de vuestro interés y os pedimos que a medidas que vayáis leyendo las distintas propuestas dejéis vuestra opinión en forma de comentario.
Actualización: En cumplimiento de lo dispuesto en el artículo 97 del Reglamento del Consejo, las enmiendas de todos los grupos se han publicado en el Boletín Oficial de las Cortes Generales de 18 de abril de 2018. Puedes descargarlo desde el enlace que hemos incluido a continuación. Dado que con este tendrás acceso a todas de una vez, suprimimos los que te llevaban a las de un grupo en concreto.
Quien lo iba a decir: ya nos hemos comido 2016, un año marcado, desde la óptica eleopediana, por el Reglamento General de Protección de Datos, que nos trae a todos por el camino de la amargura intentado interpretarlo. El Grupo de Autoridades europeas de protección de datos ya ha empezado a emitir diversas directrices y documentos de preguntas dirigidas a responsables y encargados de tratamiento, y el club del dato patrio espera con impaciencia la publicación del anteproyecto de reforma de la LOPD en el primer trimestre de 2017, del que se ha empezado a hablar en las redes este mes de diciembre.
Aunque este año nos hemos prodigado poco, en Privacidad Lógica no hemos querido saltarnos la costumbre de felicitar la Navidad a todos nuestros amigos y lectores a través de otra de nuestras peculiares postales navideñas.
Ya sabéis todos que Privacidad Lógica es el blog asesor oficial de los Reyes Magos en materia de privacidad. Conscientes de que son un poco dejados en esto del cumplimiento de la LOPD (pero a su edad todo se perdona… mientras nos traigan regalos) en esta ocasión nos han pedido ayuda para intentar cumplir con el deber de información, pero, para no dejarlo todo para el último minuto, incorporando las nuevas exigencias del RGPD como buenamente hemos entendido, que todo está a fecha de hoy en el aire.
Si quieres conocer qué tal ha ido la cosa, descárgate nuestra felicitación haciendo click en la imagen.
Una de las obligaciones básicas de todo aquel que recabe datos de carácter personal para llevar a cabo cualquier actividad profesional, comercial o empresarial, así como el desarrollo o prestación de las competencias de las Administraciones públicas es ofrecer a los interesados un determinado contenido informativo, que viene fijado en la legislación española en el artículo 5 LOPD.
Obviamente, el abogado para el desarrollo de sus servicios profesionales debe tratar datos de carácter personal, así que debe forzosamente observar el deber de información (o derecho de información desde la perspectiva del interesado, es decir, de la persona física cuyos datos vayamos a tratar).
La importancia de cumplir debidamente el deber de información es enorme, dado que incide directamente en la formación de la voluntad del interesado a la hora de consentir o no tratamiento de sus datos de carácter personal. El propio Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre, destaca en su fundamento jurídico séptimo la relevancia de ese derecho a ser informado:
De todo lo dicho resulta que el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos.(más…)
El abogado, para el desarrollo de las prestaciones objeto de su contratación necesita tratar datos de carácter personal. Como regla general, y como establece el apartado primero del artículo 6 de la LOPD, el tratamiento de los datos de carácter personal requerirá del consentimiento inequívoco del afectado, salvo que la ley no disponga otra cosa.
De acuerdo con lo anterior, ¿debe el abogado solicitar el consentimiento de su cliente para tratar sus datos de carácter personal? La respuesta es negativa, porque el apartado segundo del mismo precepto citado y el artículo 10 RDLOPD nos dicen que no será necesario contar con ese consentimiento cuando los datos de carácter personal se recaben por el responsable del tratamiento con ocasión de la celebración de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento.
Como el abogado recaba los datos personales de sus clientes a resultas del establecimiento con ellos de una relación contractual en virtud de la cual el cliente arrienda los servicios del abogado, podemos concluir que el tratamiento de esos datos no necesita del consentimiento del cliente de acuerdo con lo expuesto.
Ahora bien, el tema deja de ser tan sencillo si entre los datos que se recaban y tratan se encuentra alguno calificable como especialmente protegido: ideología, religión, creencias, afiliación sindical, origen racial, salud y vida sexual, que la LOPD regula, a los efectos que nos ocupan, en el artículo 7. (más…)
Constituye este artículo la segunda parte del anterior publicado en este blog sobre el artículo 15 RDLOPD, relativo a la solicitud del consentimiento en el marco de una relación contractual para fines no relacionados directamente con la misma.
Recordemos la redacción del precepto:
Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.
En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.
En el post previo nos centramos en la redacción la leyenda (en positivo o negativo) que debe acompañar a la casilla a la que se refiere el precepto “se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato”.
Hoy quiero hablar sobre el establecimiento de ese procedimiento equivalente que permita al interesado manifestar su negativa al tratamiento de sus datos para otras finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual. (más…)
El artículo 15 del RDLOPD establece que si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.
En particular, nos dice el precepto, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.
Olvídese el lector por ahora de lo de “procedimiento equivalente”, que espero sea objeto de un post posterior (estamos en ello), y céntrese en el sistema que el legislador bendice: la existencia de una casilla, claramente visible y no pre marcada, en el documento en el que se plasmará el contrato.
El asunto que quiero tratar aquí es cómo redactar la leyenda que debe acompañar a la casilla en cuestión: ¿debe redactarse en sentido positivo (Sí quiero), o puedo hacerlo en sentido negativo (No quiero)? La cuestión no es ninguna tontería, por cuanto en el caso de que la redacción sea en sentido positivo solamente podré utilizar los datos de los interesados que hayan expresamente marcado la casilla autorizando ese uso. Por el contrario, si la redacción lo es en sentido negativo podré utilizar los datos de todos aquellos interesados que no hayan manifestado su negativa de forma expresa marcando la casilla. (más…)
Cuando ya parecía que dormitaba en un profundo sueño, la reciente sentencia de 15 de octubre de 2015 del Tribunal Supremo Sala de lo Civil, ha vuelto a poner en circulación al bautizado como “derecho al olvido”. Esta sentencia, de manera muy resumida, se pronuncia sobre la aplicación del citado “derecho” a las hemerotecas digitales de los periódicos, que deberán, en el caso de que se ejercite el mismo y proceda su estimación, adoptar las medidas necesarias para evitar la indexación de los buscadores. (más…)
En este contexto ¿creéis que el derecho de acceso debe incluir el listado de personas que han accedido a la hª clínica y la finalidad de dicho acceso (acceso completo al registro de accesos)? ¿No os parece fundamental para el control de la persona de su información personal?
Vamos a dar respuesta a esta cuestión a través de los informes jurídicos y resoluciones de la Agencia Española de Protección de Datos y de las sentencias de la Audiencia Nacional dictadas al respecto.
El derecho de acceso la historia clínica se recoge en el artículo 18 de Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
Dicho precepto tiene el siguiente contenido: (más…)
Uno de los pilares básicos en la implementación y aplicación de la normativa eleopediana en cualquier organización es la necesidad de concienciar al personal de que solamente tienen que acceder a aquellos medios e información necesarios para el desarrollo de sus funciones.
Dado que en muchos entornos es imposible parametrizar al cien por cien el acceso a la información, para cumplir esa máxima cobra esencial importancia la acción humana: es necesaria la colaboración de todas las personas de la organización y apelar al sentido de la responsabilidad de cada uno para el éxito de esta política y de otras muchas en materia de protección de datos.
Lo que pasa es que —entre que la carne es débil y que el fisgoneo y chafardeo es deporte nacional (de hecho, la única disciplina en la que todo español de pro aspiraría seriamente a ser olímpicos si se incluyera en el programa de los juegos)— no son pocos los casos en los que no podemos resistirnos a mirar lo que no debemos… y eso acarrea sus consecuencias, que van más allá de las tipificadas en la LOPD y que pueden ser mucho más graves.
Así, por ejemplo, en el año 2009 la Secretaría General de la Administración de Justicia, ante lo descarado del asunto o bien para frenar un posible despiporre, tuvo que emitir una circular advirtiendo de las consecuencias disciplinarias de los accesos no justificados por parte de los funcionarios de Justicia a la información obrante en el Punto Neutro Judicial. Pueden descargarse la circular desde este enlace, pero no me resisto a la trascripción parcial de la siguiente frase, suficientemente ilustrativa: (más…)
Ya saben ustedes que las sentencias del Tribunal Constitucional se publican en el BOE de forma íntegra, sin eliminar los datos de carácter personal de los litigantes, cosa que no ocurre con el resto de sentencias dictadas por los órganos judiciales.
La licitud de esa no anonimización fue corroborada en el informe jurídico 451/2006 de la Agencia Española de Protección de Datos, que básicamente se limita a reproducir los Fundamentos Jurídicos quinto, sexto y séptimo de la Sentencia 114/2006, de 5 de abril, del propio Tribunal Constitucional.
De hecho, la única aportación de la AEPD en dicho informe es el encabezamiento y la conclusión final, siendo el resto del mismo la reproducción literal de los Fundamentos Jurídicos citados: (más…)
