¿Qué va a pasar con los contratos de encargado de tratamiento en vigor concertados antes del 25 de mayo de 2018?

Miniatura noticia

Actualización al pie de la entrada, 8 de agosto 2018.

A partir del 25 de mayo de 2018 todo contrato que se concierte que implique la prestación de un servicio que pueda considerarse como un tratamiento por  cuenta de terceros deberá  tener en cuenta todo lo recogido en el artículo 28 del RGPD.

Ahora bien, llegada esa fecha lo normal es que en cualquier organización nos encontremos con contratos de encargado de tratamiento en vigor concertados bajo el régimen de la LOPD y el RDLOPD que, lógicamente, no cumplen todas las prescripciones del nuevo reglamento europeo.

Dichos contratos no quedarían automáticamente revocados con la aplicabilidad del RGPD, sino que, de acuerdo con las previsiones de la nueva normativa española, actualmente en fase de tramitación, mantendrán su vigencia durante un plazo determinado, debiendo durante el mismo ser adaptados a las nuevas exigencias del RGPD si se quieren mantener pasado ese plazo transitorio.

Ese régimen transitorio se recogería en la disposición transitoria quinta del proyecto de LOPD en los siguientes términos: (más…)


Aproximación a los ficheros de morosos desde el RGPD y la LOPD 2.0

Miniatura noticia

Ya saben ustedes que el 25 de mayo de 2018 comienza el reinado del RGPD y que no son pocas las dudas que se sigue planteando la Administración pública, el sector productivo en general y, en especial, el sector profesional eleopediano, porque el RGPD no contiene la respuesta a todas las preguntas y la nueva LOPD 2.0, aparte de acumular un retraso considerable en su tramitación, sabemos cómo ha entrado en las Cortes, pero no cómo va salir, habida cuenta de la composición esta legislatura de las Cámaras. Si estuviéramos en una situación de mayoría absoluta parlamentaria del partido del Gobierno, el texto final de la norma no diferiría mucho del recogido en el proyecto, que vamos con prisa después de haber tirado a la basura un año entero. Pero ahora, salvo el título de la norma, nada está a salvo…

Una de las cuestiones que quedan “un poco mucho” en el aire es el de los ficheros de solvencia patrimonial y crédito (sí, los “ficheros de morosos”), los que el artículo 29 .2de la aún vigente LOPD define como sistemas de información sobre cumplimiento de obligaciones dinerarias, financieras o de crédito a través de datos suministrados por los acreedores o quienes actúen por su cuenta e interés.

En esta materia pasamos de una regulación bastante completita en los artículos 29 LOPD y 37 a 44 RDLOPD al silencio del RGPD (no hay previsiones directas) y un único artículo, el 20, en el proyecto de nueva LOPD (al que llamaremos en adelante “LOPD 2.0”) más la aportación puntual de su disposición adicional octava.

Ese artículo 20 de la LOPD 2.0 tampoco regula todos los aspectos desarrollados en los artículos antes citados del RDLOPD, así que podríamos preguntarnos cómo va a quedar el asunto entre unas cosas y otras. (más…)


El abogado ante el deber de información al cliente según el nuevo Reglamento General de Protección de Datos

Miniatura noticia

Una de las obligaciones básicas de todo aquel que recabe datos de carácter personal para llevar a cabo cualquier actividad profesional, comercial o empresarial, así como el desarrollo o prestación de las competencias de las Administraciones públicas es ofrecer a los interesados un determinado contenido informativo, que viene fijado en la legislación española en el artículo 5 LOPD.

Obviamente, el abogado para el desarrollo de sus servicios profesionales debe tratar datos de carácter personal, así que debe forzosamente observar el deber de información (o derecho de información desde la perspectiva del interesado, es decir, de la persona física cuyos datos vayamos a tratar).

La importancia de cumplir debidamente el deber de información es enorme, dado que incide directamente en la formación de la voluntad del interesado a la hora de consentir o no tratamiento de sus datos de carácter personal. El propio Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre, destaca en su fundamento jurídico séptimo la relevancia de ese derecho a ser informado:

               De todo lo dicho resulta que el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos. (más…)


¿Incide el nuevo Reglamento General de Protección de Datos en la legitimación del abogado para el tratamiento de datos de carácter personal especialmente protegidos de sus clientes?

Miniatura noticia

El abogado, para el desarrollo de las prestaciones objeto de su contratación necesita tratar datos de carácter personal. Como regla general, y como establece el apartado primero del artículo 6 de la LOPD, el tratamiento de los datos de carácter personal requerirá del consentimiento inequívoco del afectado, salvo que la ley no disponga otra cosa.

De acuerdo con lo anterior, ¿debe el abogado solicitar el consentimiento de su cliente para tratar sus datos de carácter personal? La respuesta es negativa, porque el apartado segundo del mismo precepto citado y el artículo 10 RDLOPD nos dicen que no será necesario contar con ese consentimiento cuando los datos de carácter personal se recaben por el responsable del tratamiento con ocasión de la celebración de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento.

Como el abogado recaba los datos personales de sus clientes a resultas del establecimiento con ellos de una relación contractual en virtud de la cual el cliente arrienda los servicios del abogado, podemos concluir que el tratamiento de esos datos no necesita del consentimiento del cliente de acuerdo con lo expuesto.

Ahora bien, el tema deja de ser  tan sencillo si entre los datos que se recaban y tratan se encuentra alguno calificable como especialmente protegido: ideología, religión, creencias, afiliación sindical, origen racial, salud y vida sexual, que la LOPD regula, a los efectos que nos ocupan, en el artículo 7. (más…)


Detalles del Reglamento Europeo P.Datos (versión Consejo junio 2015)

Miniatura noticia

Ya advertíamos en un post anterior sobre el texto actual de la reforma europea de Protección de Datos, el conocido como “Reglamento”, de las sugerencias del Grupo del Artículo 29 sobre el citado texto.

En este post, vamos a tratar de ir un paso más adelante, comentando algunas novedades, de esas que suelen pasar desapercibidas, calificadas como “curiosas”, así como algunos temas más que pueden provocar dificultades de aplicación práctica. (más…)


Autoridades de Protección de Datos a favor del DPO obligatorio en el Reglamento Europeo.

Miniatura noticia

Semana “movidita” la que hemos tenido en el “mundo del dato” con la publicación de lo que sería el texto del ya famoso Reglamento Europeo de Protección, con la versión del Consejo, y con la publicación del calendario de los llamados “trílogos”, o más bien, combate a tres bandas entre Comisión, Parlamento y Consejo para discutir el texto. (más…)


Últimas modificaciones del Reglamento Europeo de Protección de Datos.

Miniatura noticia

Se ha filtrado un documento con lo que sería el texto negociado y propuesto entre la Comisión y el Consejo del Reglamento Europeo de Protección de Datos (ver al respecto en el post anterior titulado “La Unión Europea rechaza la figura del Data Protection Officer -Delegado de Protección de Datos“-). (más…)


La Unión Europea rechaza al Data Protection Officer (Delegado Protección Datos) en el Reglamento de Protección de Datos.

Miniatura noticia

Aunque en los últimos tiempos el futuro Reglamento de Protección de Datos parece haberse diluido, ya que casi no hay noticias e información sobre su tramitación, gracias a @sergiocm (Sergio Carrasco) he tenido acceso a un documento que muestra la comparativa entre las propuestas planteadas por el Parlamento Europeo y lo que ha adoptado conjuntamente la Comisión y el Consejo. El documento puede descargarse en la web de edri, que han publicado al respecto una noticia bajo el título “Laked documents: European Data Protection Reform is badly broken”. Este título, lo dice todo. (más…)


Protagonistas y desgraciados en protección de datos del 2014. Perspectivas 2015.

Miniatura noticia

Probablemente, la mayoría piense que los hechos más relevantes en protección y privacidad de datos fueron dos sentencias del Tribunal de Justicia de la Unión Europea: la del “derecho al olvido” así como la que anuló la Directiva de Retención de Datos. Sin embargo, vamos a diferir, ya que creemos que lo más importante, y que está pasando totalmente desapercibido, son las modificaciones introducidas por la nueva Ley de Seguridad Privada (Ley 5/2014, de 4 de abril).

(más…)


Reflexiones sobre la responsabilidad de Google en el “derecho al olvido”.

Miniatura noticia

Por fin ya conocemos el resultado de la Sentencia del Tribunal de Justicia de la Unión Europea del “Caso Costeja”  -Asunto C-131/12, de Google Spain S.L y Google INC contra la Agencia Española de Protección de Datos y Mario Costeja González- (aquí puedes leer todos los antecedentes), emanada del Tribunal de Justicia de la Unión Europea, decidiendo si la Directiva 95/46 y por ende, la LOPD son aplicables a Google , así como si Google (y el resto de buscadores) son responsables o no en lo que se ha bautizado como “derecho al olvido”. En otras palabras, si un particular puede dirigirse a un buscador solicitando que retire, ejercitando el derecho de oposición de la LOPD, del resultado de las búsquedas los enlaces que aparezcan respecto a su persona.

(más…)