Ayer asistí, junto con Andy y otros 280 interesados, a un desayuno de trabajo organizado por Landwell-PricewaterhouseCoopers e INTECO, sobre el nuevo Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
Como sabéis, el próximo 19 de abril de 2008 entrará en vigor el Reglamento de desarrollo de la LOPD, que incrementa el nivel de protección de los datos personales y lo extiende a los que se encuentren en soporte papel. Las empresas deberán adecuarse, por tanto, a las medidas contempladas en la mencionada normativa.
Mis impresiones sobre las ponencias son excelentes. Por su especial interés para los lectores de este blog, en el presente post trataré de resumiros las impartidas por:
- D. Xavier Ribas, Socio de Landwell-PwC que aproveché para saludar y, como él me dijo, “ponernos cara”
- D. José Guerrero Zaplana, Magistrado Sección 1ª de
1) D. Xavier Ribas. La generación de pruebas para acreditar el cumplimiento de las medidas de seguridad.
En primer lugar, hizo alusión al gran número de actuaciones iniciadas por
Acto seguido nos comentó un caso curioso en el que, por un error humano al cruzar los registros de un fichero con los contenidos en una lista Robinson (fichero en el que se apuntan quienes no quieran recibir publicidad comercial), una empresa realizó un mailing masivo a todos los registros incluidos en la mencionada lista Robison. Por tanto, para D. Xavier el objetivo de toda empresa debe centrarse en poder acreditar el esfuerzo preventivo realizado así como poder demostrar que el error ha sido inevitable
Para ello se hace necesario establecer una política de recopilación de evidencias consistente en:
- Controles periódicos
- Auditorías bienales
- Creación de evidencias
- Organización y sistematización
Merecen una especial atención las siguientes elementos:
- Logs de navegación
- CGC y formulario web, que se modifican constantemente
- Soportes que se degradan con el transcurso del tiempo, como es el caso del: papel térmico o químico
Por último, y como ejemplo de evidencias que recomienda recabar, quiso destacar las siguientes:
- Escaneado de los consentimientos otorgados por los titulares de los datos
- Escaneado de documentos con certificación de un tercero para constatar que se ha dado información suficiente al titular de los datos
- Formación, controles, medidas correctoras y doble validación para evitar, en la medida de lo posible, el error humano
- Revisión anual de los proveedores que acceden a los datos, así como de los contratos firmados con ellos
- Pruebas de haber contestado dentro de plazo establecido en la normativa a la solicitud de los derechos ejercitados por los titulares de los datos
- Protocolizar nuestras páginas webs
- Proceder a la destrucción del papel con una auditoría del proveedor
2) D. José Guerrero. Últimas sentencias dictadas en materia de protección de datos.
En su opinión, hay 44 tipos de conductas sancionables en
Las sanciones suelen imponerse por los siguientes motivos:
- Respecto al principio de consentimiento (art.. 6 LOPD)
- Por incorporar registros a ficheros sin el pertinente consentimiento del titular de los datos
- Por la existencia de “contratos falsos” (en preasignaciones, principalmente) en los que queda demostrado que el titular no dio su consentimiento y que, por tanto, su identidad fue suplantada
- Por tratamientos de datos sin el consentimiento del titular
- Respecto al principio de calidad de los datos (art. 4 LOPD): Por anotar en los registros de morosos a personas con deudas inciertas o a aquellas a las que no se les ha requerido previamente el pago, tal y como establece la normativa aplicable
- Respecto a la cesión de datos (arts. 11 y 12 LOPD):
- En contratos entre empresas cuyo objeto supone la cesión del listado de clientes sin contar con el consentimiento de los titulares
- En los contratos de outsorcing que no respetan la obligación de contar con el consentimiento de los titulares para que se produzca la cesión de sus datos
- Por infracción del deber de secreto (art. 10 LOPD), como pudiera ocurrir con las entidades financieras que ofrecen información indebida a una persona, por no ser ella la titular de la cuenta bancaria
A continuación, un listado de sentencias que pudieran resultar de interés en esta materia:
- Contratación de suministro sin consentimiento: 265/2006 y 91/2007
- Tratamiento de firma digitalizada en las compras con tarjeta de crédito
- Publicación de las retribuciones de los concejales: 336/2006
- Consentimiento para el “análisis de sangre” que da lugar a la práctica de la prueba del SIDA: 352/2006
3) D. Carlos Rodríguez Sau. Principales novedades del Reglamento de desarrollo de la LOPD y consejos prácticos.
En esta presentación se analizaron las principales novedades que se derivan del Reglamento. A continuación os doy detalle de cuáles son, en su opinión, los artículos que hay que observar con detenimiento:
- Artículo 2. Ámbito objetivo de aplicación
- Artículo 14. Forma de recabar el consentimiento
- Artículo 19. Supuestos especiales
- Artículo 26. Ejercicio de los derechos ante un encargado del tratamiento
- Artículo 36. Derecho de oposición a las decisiones basadas únicamente en un tratamiento automatizado de datos
- Artículo 38. Requisitos para la inclusión de los datos
- Artículo 39. Información previa a la inclusión
- Artículo 42. Acceso a la información contenida en el fichero
- Artículo 46. Tratamiento de datos en campañas publicitarias
- Artículo 46. Tratamiento de datos en campañas publicitarias
- Artículo 57. Ficheros en los que exista más de un responsable
- Título VII. Códigos tipo
- Título VI. Transferencias Internacionales De Datos
- Título VIII. De las medidas de seguridad
- Título IX. Procedimientos tramitados por la AEPD
- Disposición Adicional Única. Productos de software
En definitiva, una jornada de alto nivel en la se hizo consciente a la audiencia de la importancia de la protección de datos en las empresas, principalmente por lo elevado de las sanciones, y la que se dieron interesantes para cumplir con lo establecido en la recién aprobada normativa y evitar así posibles sanciones por el órgano competente.
Hola, Miguel Angel
¿Se mojaron sobre el 2.2 y el 2.3?
Ficheros de clientes y proveedores: ¿In or Out?
Desde mi punto de vista, asimila los datos profesionales de una persona física a los de una persona jurídica interpretando que pertenecen a esta más que a aquella.
Otros dicen que se refiere exclusivamente al fichero de contactos (quizá por cuidar un poco de su propio negocio)
¿Sería posible la declaración de inconstitucionalidad de alguno de estos artículos por ir más allá de la Ley Orgánica? Y en este caso, ¿realmente conviene aplicarlo?
Gracias y un saludo!
Oye! Dónde se publicó que iba a tener lugar este desayuno? Es para estar pendiente para la próxima. Gracias!
Muchas gracias por tus comentarios sobre la jornada y por vuestra asistencia, Miguel Ángel. Como has dicho, fue un placer poner cara a los textos que sigo desde hace tiempo a través de vuestros blogs.
Hasta la próxima.
Xavier
Vale, ya sé dónde. Miguel Ángel, gracias por el resumen de la Jornada. Sí que fue interesante.
Buenas tardes, Xavier,
lo cierto es que me llena de orgullo que este humilde blog sea leído por una persona a la que sigo desde hace bastante tiempo y que ha sido un referente desde que inicié mi todavía corta carrera profesional.
Nos vemos pronto!
Miguel A. Mata
Buenas tardes, CJ,
efectivamente se mojaron sobre el 2.2 y el 2.3. Incluso comentaron aquellos puntos con los que no estaban para nada de acuerdo. Fue una jornada de lo más práctico donde se dieron recomendaciones sobre cómo proceder en este período previo a la entrada en vigor del Reglamento.
Si tienes alguna duda sobre el Reglamento , estoy a tu disposición para que entre los dos tratemos de interpretar lo establecido por el legislador, ya que en algunos artículos es necesario un poco de imaginación…
Un saludo,
Miguel A. Mata
No se si sigue funcionando este blog. Me gustaría conocer vuestro punto de vista sobre el consentimiento del art. 14 y el art. 15 del reglamento.
¿en que casos se utiliza el consentimiento descrito en el articulo 14?
Hola, busco sentencias relativas a la cesión de datos por un banco a un tercero que no sea parte del contrato (art. 10).
Gracias