Pages

martes, 1 de junio de 2021

LA MEJOR FORMA DE EVITAR UNA SANCIÓN DE LA AEPD: CONTESTAR CORRECTAMENTE AL TRASLADO DE LA DENUNCIA

 EL MECANISMO PREVIO DE ADMISIÓN A TRÁMITE DE RECLAMACIONES ANTE LA AEPD QUE CONSISTE EN DAR TRASLADO AL DENUNCIADO.

La verdad es que el mecanismo previo que establece el artículo 65.4 de la LOPDGDD es una herramienta poco conocida por todos.

Se trata de un proceso por el cual la Autoridad de Control competente en materia de protección de datos, cuando recibe una denuncia de un afectado por una posible vulneración de la LOPDGDD, procede a dar traslado a la parte denunciada para que manifieste lo que crea oportuno en su descargo en base a los hechos expuestos en la denuncia.

Con la respuesta del denunciado la autoridad de control decidirá con mejor criterio si se abre otro procedimiento administrativo o por el contrario se procede al archivo de la denuncia.

Es importante destacar que históricamente el número de expedientes sancionadores abiertos en base a una denuncia es muy superior a los abiertos de oficio, y que en caso de infracción del RGPD la Autoridad de Control no puede eludir su responsabilidad y tendrá que actuar , independientemente de que el interés del denunciante sea honesto o no a la hora de presentar la denuncia.

En muchos casos el recibimiento de dicha comunicación de traslado de la denuncia por parte de la AEPD es la primera noticia que tiene el denunciado de que hay un problema en materia de protección de datos y que ha sido denunciado por alguien ante la Autoridad de Control competente.

En todo caso, desde ATGROUP nuestra recomendación pasa por aprovechar esa primera oportunidad de explicar , documentar y por que no decirlo ayudar a la Autoridad de Control en su tarea de esclarecimiento de los hechos, aportando las pruebas y evidencias necesarias para eliminar o minimizar la presunta vulneración denunciada.

Recordemos que el principio de responsabilidad proactiva (art. 5. RGPD) obliga al responsable de tratamiento al fiel cumplimiento del RGPD y la LOPDGDD y también a poder demostrar dicho cumplimiento en todo momento.

Finalmente, no nos cansaremos de recomendar la intervención del Delegado de Protección de Datos de la organización en toda la gestión de dar respuesta al traslado de la AEPD, siendo el DPD el interlocutor natural con la autoridad de control y el profesional cualificado para asesorar y coordinar todo el proceso de respuesta a las denuncias interpuestas (art. 37 RGPD).

Os seguiremos informando.

Un saludo.

Por Jorge Ortega de ATGroup

PLATAFORMA DE VEHÍCULO CONECTADO, DGT 3.0, APLICACIÓN DE LA DIRECCIÓN GENERAL DE TRÁFICO., ¿NUEVO RETO EN MATERIA DE PROTECCIÓN DE DATOS?

 LA ENTRADA EN VIGOR DEL REAL DECRETO 159/2021, DE 16 DE MARZO, POR EL QUE SE REGULAN LOS SERVICIOS DE AUXILIO EN LAS VÍAS PÚBLICAS, EL PRÓXIMO 1 DE JULIO, CONSOLIDA LA TENDENCIA DE LA MOVILIDAD CONECTADA QUE FOMENTA LA DGT DESDE SU PROPUESTA DE PLATAFORMA DE MOVILIDAD INTELIGENTE , DGT 3.0






Recientemente ha vuelto a salir en prensa (La Vanguardia, 26/05/2021) que la Dirección General de Tráfico tiene muy avanzada una aplicación informática que interconectará a los conductores entre sí, con la vía y les notificará en tiempo real las diferentes incidencias y novedades que puedan tener en la ruta.

El objetivo no puede ser más interesante: accidentes cero, heridos cero y fallecidos cero para el famoso año 2050.

Para el desarrollo de esta aplicación se han destinado recursos económicos importantes, que ascienden a más de tres millones de euros y se han implicado prestigiosas empresas e instituciones en su desarrollo. También se han tenido presentes los diferentes operadores que tengan datos o conocimientos para aportar en la mejora de la movilidad, como son los fabricantes de vehículos, centros de coordinación de emergencias o de control de tráfico rodado.

A nadie se le escapa que la potencia y el alcance de esta aplicación va en paralelo a la evolución de las nuevas tecnologías como son el 4G y el 5G, y sobre todo el llamado Internet de las Cosas (IoT), donde millones de dispositivos se conectan en tiempo real, interactuando de forma automatizada. Las previsiones son que una vez este implantado el 5G la plataforma DGT 3.0 entre en pleno funcionamiento.

Sin duda el saber la situación de la vía, si hay un accidente, un tramo de obras o esta cortada por una inclemencia meteorológica es una valiosa información, que a buen seguro será apreciada por los conductores y aportará mejoras en la seguridad y la reducción de la contaminación, optimizando trayectos y reduciendo caravanas e incidentes.

Con la entrada en vigor del RD 159/2021, de 16 de mayo, por el cual se reforma el Reglamento General de Vehículos, se da un paso más en esa dirección, dicha norma, modifica el Reglamento General de Vehículos y regula la conexión a la nube de la DGT, no sólo de los vehículos con incidencia en la vía ( señales luminosas e interconexión bajo protocolo V.16), sino de los servicios de asistencia en ruta, creando un registro de homologación de los operadores de dichos servicios, de obligada inscripción en el Registro Estatal de Auxilio en Vías Públicas (REAV), así como a la señalización en tiempo real de las actividades de asistencia , geoposicionando los servicios en tiempo real de la ubicación de los trabajos con el protocolo de comunicaciones asignado (V.2, V.23 y V.24).

De todas estas novedades en materia de movilidad y seguridad vía echamos a faltar un elemento importante, el estudio de la evaluación del impacto en materia de privacidad.

En efecto, la realidad es que detrás de cada vehículo, u operador de movilidad hay personas físicas, identificadas o identificables (titulares, conductores, peatones afectados, personal técnico de asistencia en ruta, etc.), haciendo poco o nada creíble que esos datos masivos utilizados se traten exclusivamente de forma anónima sin posibilidad de reversión por ninguno de los operadores afectados.

La interconexión de todos los elementos de movilidad urbana en interurbana mediante el 5G e IoT, junto a la IA, hace que el cerco sobre la esfera de la intimidad sea cada vez más estrecho, y más si lo asociamos al uso masivo de nuestros inseparables smartphone.

El cruce de datos entre todos los dispositivos interconectados en tiempo real puede abrir la puerta no sólo a las conductas de asistencia en carretera o ayuda ante incidentes, sino a la supervisión de fiel y estricto cumplimiento de las normas de circulación, ya que será nuestro propio vehículo el que vaya indicando a la Autoridad de Control las situaciones que pudieran constituir infracción administrativa e incluso penal.

Y de todo ello, no parece que nadie vaya a informar adecuadamente según el RGPD y la LOPDGDD a los usuarios e incluso a los terceros afectados, como pudieran ser pasajeros o viandantes.

Por tanto, entendemos que dichas nuevas plataformas de gestión de la movilidad, ya sea urbana o interurbana, compartidas o no , necesitan un análisis profundo desde el punto de vista de la afectación o los riesgos que pueda tener en materia de privacidad desde el punto de vista del RGPD Y.

No basta con enunciar que serán datos anónimos, el principio de Responsabilidad Activa del artículo 5.2 del RGPD nos exige poder acreditar en todo momento los hechos, por tanto, se hace imprescindible que en todo proyecto donde pueda haber uso masivo de datos que pudieran ser vinculados a personas se haga la correspondiente evaluación del riesgo y los oportunos Planes de Evaluación de Impacto, y todo ello, por supuesto, antes de la puesta en explotación, como nos indica el principio de privacidad desde el diseño del artículo 25 del RGPD.

No perdemos la esperanza de que en breve se publicaran los informes correspondientes por parte del Delegado de Protección de Datos de la Dirección General de Tráfico respecto a la plataforma DGT 3.0.

Nueva guía de la Agencia Española de Protección de Datos sobre brechas de seguridad

La agencia española de protección de datos ha actualizado su guía de gestión de brechas de seguridad.



La Guía tiene como objeto dotar de las herramientas necesarias para que los responsables de tratamiento o encargados que sufran una brecha de seguridad cumplan con el deber establecido en los artículos 33 y 34 del RGPD.

La misma AEPD informa de la gran cantidad de notificaciones de brechas de seguridad recibidas (casi 700) el pasado año 2020 y que destacan las vinculadas a los ataques de secuestro de datos , los llamados ransomware como los más frecuentes.

Cómo ya destacamos en nuestro webinar de 20 de mayo, la ciberseguridad cobra cada vez más importancia siendo un elemento imprescindible en las empresas e instituciones del Siglo XXI.
El problema que nos enfrentamos ante una brecha de seguridad, evidentemente no es sólo la recuperación de los datos perdidos, sino que en los casos más graves tendremos que explicar a la Autoridad de Control que ha pasado y si el incidente a afectado a clientes o terceros, a estos también. Todo ello con las consiguientes responsabilidades legales, como pueden ser una sanción en materia de protección de datos o las reclamaciones por los daños y perjuicios generados a los clientes o terceros afectados por las brechas de seguridad.

En resumen, os ponemos en conocimiento de la actualización de la Guía de comunicación de brechas de seguridad por estar seguros de que será de vuestro interés.

Por Ricard Millán de ATGroup

miércoles, 22 de febrero de 2017

Seminario "Novedades del Nuevo Reglamento Europeo de Protección de Datos"

AT Group presenta el Seminario "Novedades del Nuevo Reglamento Europeo de Protección de Datos" que forma parte de la presentación del "Curso Universitario de Acreditación como Data Protection Officer" y que tendrá lugar el jueves 9 de marzo a las 17:00 horas.

El seminario será gratuito y con plazas limitadas.

Para más información y/o confirmación de asistencia contacte con nosotros a "info@atgrup.com".

jueves, 16 de febrero de 2017

EL DOCUMENTO DE SEGURIDAD

Actualmente el uso y las transferencias de datos son un hecho cada vez más común y que se realiza de forma masiva por lo que la protección de los datos personales es un elemento esencial para la intimidad de las personas, derecho fundamental que recoge la Constitución. Por ello, es necesario que se tomen una serie de medidas que ofrezcan unas garantías suficientes para la seguridad de los datos.

Así pues, el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante LOPD, establece que el responsable del fichero o el encargado deberá tomar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos. Además, el Real Decreto 1720/2007, de 21 de diciembre, que desarrolla la LOPD, en adelante RDLOPD, añade que entre éstas medidas se encuentra la elaboración de un documento que recoja el conjunto de medidas de seguridad, es decir, el llamado documento de seguridad.

Dicho esto, podemos afirmar que siempre que se traten datos se deberá tener un documento de seguridad, sean pocos o muchos, un fichero o más. Y, ¿cómo debe ser este documento? El mismo RDLOPD se encarga de desarrollarlo en su capítulo II y, además, permite distintas opciones en relación a dicho documento: que se tenga un documento común para todos los ficheros, uno para cada fichero o uno por grupo.

Dicho lo anterior, vamos a ver qué debe contener el documento de seguridad y por ello nos remitimos al artículo 88.3 RDLOPD que nos establece el contenido mínimo:
  • Ámbito de aplicación del documento.
  • Medidas, normas y procedimientos de actuación. Es la parte básica del documento, se fijan las bases y protocolos de actuación en el tratamiento de datos dentro de la organización determinando los procesos existentes y actualizando el documento cuando existan procesos nuevos o nuevas normas.
  • Funciones y obligaciones del personal que trate datos. Es uno de los apartados más importantes ya que se va a definir quién tiene acceso a qué datos, en qué condiciones y qué responsabilidades se derivan de ello.
  • Estructura de los ficheros y los sistemas de información. Se deberá hacer una descripción detallada de los ficheros así como los sistemas manteniendo actualizada la relación.
  • Procedimiento de notificación, gestión y respuesta ante incidencias. Hace referencia a todo aquello relacionado con las incidencias de modo que cuándo se produzca una exista un protocolo de actuación en todos los sentidos: notificación, gestión y respuesta ante la misma.
  • Procedimiento de copias de respaldo y recuperación de los datos. En este apartado se deberá hacer referencia a periodicidad de las copias, cómo se realizaran y quién será el encargado de realizarlas, etc.
  •  Medidas necesarias para el transporte de soportes y documentos, destrucción y/o reutilización. El objetivo final es la destrucción de los datos de forma efectiva de modo que se establezca un proceso que no deje lugar a posibles fugas o pérdidas de información en el proceso de destrucción. Por ejemplo, si se contrata a un tercero para ello deberá constar en el documento identificando el tercero así como las condiciones.
Cabe añadir que en el caso de tratar datos de nivel medio o alto se deberá identificar al responsable/s de seguridad así como los controles periódicos que se deben realizar para verificar el cumplimiento del documento, artículo 88.4 RDLOPD.

Asimismo si hay tratamiento de datos por cuenta de terceros también se deberá reflejar en el documento con la identificación de ficheros y tratamientos así como el contrato y sus condiciones. También, si hay tratamiento de datos de forma exclusiva por parte del tercero se deberá reflejar en él.

Finalmente será imprescindible que se mantenga actualizado en todo momento y se adecue a las disposiciones vigentes en materia de protección de datos así como deberá contener todo lo relevante en relación a los tratamientos de datos que se produzcan en la organización intentando plasmar lo mejor posibles los protocolos y procesos que se ejecutan para minimizar los riesgos posibles.

Así pues, queda constancia de que se trata de un documento imprescindible que facilita la tarea ante cualquier incidencia así como nos garantiza el cumplimiento de la normativa de protección de datos de modo que toda empresa debe tenerlo sobre todo si trata datos de carácter medio o alto. Por otro lado, su actualización periódica o ante cualquier cambio relevante será esencial para que refleje la situación real de los procesos de tratamiento y la situación general de la empresa en términos de protección de datos.
Related Posts Plugin for WordPress, Blogger...