¿Es usted abogado y lleva a medias con un compañero de otro despacho un asunto, sin relación de subordinación, sino en plano de igualdad? Es decir, ambos establecen de forma conjunta el enfoque del asunto, posición, planteamiento escritos, asumen de forma conjunta la dirección técnica del asunto. Si es así, muy posible que nos encontremos ante un supuesto de corresponsabilidad del artículo 26 RGPD.
De acuerdo con dicho precepto, los corresponsables deben
1.- Determinar de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información a que se refieren los artículos 13 y 14, salvo, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los interesados.
2.- El acuerdo indicado en el apartado 1 reflejará debidamente las funciones y relaciones respectivas de los corresponsables en relación con los interesados. Se pondrán a disposición del interesado los aspectos esenciales del acuerdo.
3.Independientemente de los términos del acuerdo a que se refiere el apartado 1, los interesados podrán ejercer los derechos que les reconoce el presente Reglamento frente a, y en contra de, cada uno de los responsables.
Por tanto, no queda otra que ponerse a redactar para documentar lo anterior, recogiendo en el texto del acuerdo, como mínimo en mi opinión, los siguientes puntos: (más…)
Actualización al pie de la entrada, 8 de agosto 2018.
A partir del 25 de mayo de 2018 todo contrato que se concierte que implique la prestación de un servicio que pueda considerarse como un tratamiento por cuenta de terceros deberá tener en cuenta todo lo recogido en el artículo 28 del RGPD.
Ahora bien, llegada esa fecha lo normal es que en cualquier organización nos encontremos con contratos de encargado de tratamiento en vigor concertados bajo el régimen de la LOPD y el RDLOPD que, lógicamente, no cumplen todas las prescripciones del nuevo reglamento europeo.
Dichos contratos no quedarían automáticamente revocados con la aplicabilidad del RGPD, sino que, de acuerdo con las previsiones de la nueva normativa española, actualmente en fase de tramitación, mantendrán su vigencia durante un plazo determinado, debiendo durante el mismo ser adaptados a las nuevas exigencias del RGPD si se quieren mantener pasado ese plazo transitorio.
Ese régimen transitorio se recogería en la disposición transitoria quinta del proyecto de LOPD en los siguientes términos: (más…)
Ya saben ustedes que el 25 de mayo de 2018 comienza el reinado del RGPD y que no son pocas las dudas que se sigue planteando la Administración pública, el sector productivo en general y, en especial, el sector profesional eleopediano, porque el RGPD no contiene la respuesta a todas las preguntas y la nueva LOPD 2.0, aparte de acumular un retraso considerable en su tramitación, sabemos cómo ha entrado en las Cortes, pero no cómo va salir, habida cuenta de la composición esta legislatura de las Cámaras. Si estuviéramos en una situación de mayoría absoluta parlamentaria del partido del Gobierno, el texto final de la norma no diferiría mucho del recogido en el proyecto, que vamos con prisa después de haber tirado a la basura un año entero. Pero ahora, salvo el título de la norma, nada está a salvo…
Una de las cuestiones que quedan “un poco mucho” en el aire es el de los ficheros de solvencia patrimonial y crédito (sí, los “ficheros de morosos”), los que el artículo 29 .2de la aún vigente LOPD define como sistemas de información sobre cumplimiento de obligaciones dinerarias, financieras o de crédito a través de datos suministrados por los acreedores o quienes actúen por su cuenta e interés.
En esta materia pasamos de una regulación bastante completita en los artículos 29 LOPD y 37 a 44 RDLOPD al silencio del RGPD (no hay previsiones directas) y un único artículo, el 20, en el proyecto de nueva LOPD (al que llamaremos en adelante “LOPD 2.0”) más la aportación puntual de su disposición adicional octava.
Ese artículo 20 de la LOPD 2.0 tampoco regula todos los aspectos desarrollados en los artículos antes citados del RDLOPD, así que podríamos preguntarnos cómo va a quedar el asunto entre unas cosas y otras. (más…)
Una de las obligaciones básicas de todo aquel que recabe datos de carácter personal para llevar a cabo cualquier actividad profesional, comercial o empresarial, así como el desarrollo o prestación de las competencias de las Administraciones públicas es ofrecer a los interesados un determinado contenido informativo, que viene fijado en la legislación española en el artículo 5 LOPD.
Obviamente, el abogado para el desarrollo de sus servicios profesionales debe tratar datos de carácter personal, así que debe forzosamente observar el deber de información (o derecho de información desde la perspectiva del interesado, es decir, de la persona física cuyos datos vayamos a tratar).
La importancia de cumplir debidamente el deber de información es enorme, dado que incide directamente en la formación de la voluntad del interesado a la hora de consentir o no tratamiento de sus datos de carácter personal. El propio Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre, destaca en su fundamento jurídico séptimo la relevancia de ese derecho a ser informado:
De todo lo dicho resulta que el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos.(más…)
Uno de los problemas con que nos encontramos, tanto los que ofrecemos servicios en el sector del cumplimiento normativo en materia de protección de datos, como los destinatarios de los mismos, es la inexistencia de una metodología comúnmente aceptada –debidamente estandarizada y extendida- para la adecuación de los procesos (en los que se producen tratamientos de datos) a tal cumplimiento legal. (más…)