Mesa redonda en el ICAS sobre la Proyección del Abogado como DPD

Este martes 23 de enero de 2024 a las 19:00 horas se va a celebrar en la sede del Ilustre Colegio de Abogados de Sevilla (ICAS), sito en la calle Chapineros n.º 6, una mesa redonda sobre ‘La Proyección del Abogado como Delegado de Protección de Datos (DPD): Retos y oportunidades’, que será moderada por el presidente de esta asociación.

Más información e inscripciones para asistencia presencial u online en https://www.icas.es/evento/la-proyeccion-del-abogado-como-delegado-de-proteccion-de-datos-dpd-retos-y-oportunidades.

Los DPD y su protección contra despidos

El Tribunal de Justicia de la Unión Europea (TJUE) ha aclarado recientemente (asunto C‑534/20) que las leyes de los países miembros pueden determinar criterios específicos para el despido de un Delegado de Protección de Datos (DPD) que incluso pueden ser más restrictivos que las directrices del Reglamento General de Protección de Datos (RGPD).

El asunto surgió cuando una empresa recurrió una resolución de un tribunal alemán que había considerado ilegal la terminación del contrato de su DPD. Dicha empresa argumentó que esta decisión estaba basada en una reorganización interna, pero el tribunal alemán insistió en que, conforme a la legislación local, el despido de un DPD solo puede suceder si existe una «razón importante», y una simple reestructuración no se ajusta a ese criterio.

El TJUE subrayó que el RGPD establece que la tarea principal del DPD es asegurar que se cumplan las regulaciones de protección de datos de la Unión Europea o de las leyes nacionales, y que el DPD no puede ser despedido o penalizado simplemente por cumplir con sus responsabilidades.

De acuerdo al RGPD, los DPD, ya sean parte de la organización o externos, deben actuar con plena independencia, ya que esta es crucial para proteger a las personas en la Unión Europea. Aunque el RGPD no busca regular por completo la relación laboral entre el DPD y su empleador, los países miembros pueden establecer reglas más estrictas respecto al despido del DPD, siempre y cuando no contradigan el propósito del RGPD.

Así, el TJUE determinó que el RGPD no se interpone ante leyes nacionales que ponen condiciones más rígidas para el despido de un DPD, siempre que estas no se opongan al espíritu del RGPD.

Por último, es importante destacar que el TJUE ha aclarado que el RGPD cubre cualquier vínculo entre un DPD y la entidad responsable o encargada del tratamiento, sin importar el tipo de relación laboral que tengan, pues las normas se aplican de igual forma si el DPD trabaja directamente para la entidad o si ofrece sus servicios bajo un contrato de prestación de servicios.

Se ha superado el límite de lo humanamente sano para la salud mental del equipo de la AEPD

Según ha publicado este verano el medio Business Insider, la responsable de la AEPD alerta de que se ha superado el límite de lo humanamente sano para la salud mental del equipo.

Mar España, directora de la AEPD, sobre la carga de trabajo del organismo: «Algo tendrá que hacer el nuevo Gobierno que salga del 23J, hay riesgos de colapso». «Y cuando hablamos de proteger un dato no hablamos de una cuestión aséptica: hablamos de proteger a personas en esferas tan importantes como la ideología o la sexualidad».

En ese sentido, la directora de la AEPD cree que el RGPD ha sido «transformador», aunque sí reconoce puntos a mejorar y que confía en que lo harán. El mes pasado, el Comité Europeo de Protección de Datos, el organismo comunitario que aúna a todos los organismos de control nacionales de la Unión, anunció el cambio de presidencia.

Anu Talus, la directora de la agencia de protección de datos finlandesa, asumió entonces el gobierno de esa institución sucediendo a Andrea Jelinek, de la que Mar España solo tiene buenas palabras. «Tengo mucha confianza en que la nueva presidenta finlandesa continuará esa saga de rigor, profesionalidad y seriedad que ha demostrado Andrea en estos años».

«Se han identificado casos estratégicos» con este RGPD, porque «seguramente donde puede darse un impulso es en el funcionamiento del mecanismo de ventanilla única». El mecanismo de ventanilla única es un principio rector de este reglamento que contempla que las autoridades nacionales son las encargadas de abordar las investigaciones de empresas afincadas en su territorio.

El desafío del cuello de botella en el mecanismo de ventanilla única

Lo que sucede en la Unión Europea es que las grandes tecnológicas concentran la sede social y fiscal de sus filiales continentales en países como Irlanda, provocando que la Comisión de Protección de Datos de ese país, organismo análogo a la AEPD de España, tengan que enfrentarse a un sinfín de casos. Organismos de derechos civiles han denunciado que se ha originado un «cuello de botella».

«Todo se mejora aprendiendo y desde los errores». España asegura entender y tener su respeto por «el desafío tan importante» que ha supuesto la aplicación del RGPD para la autoridad irlandesa. Al mismo tiempo, abunda en que muchas de las decisiones que se adoptan con estas grandes multinacionales tecnológicas acaban siendo, en realidad, colectivas.

«La reciente sanción a Meta de más de 1.200 millones de euros», recuerda España, nació de las objeciones de 3 autoridades nacionales —entre ellas, la española— después de que Irlanda propusiese una resolución sin multa económica.

«La presidenta anterior del Comité Europeo de Protección de Datos, Andrea Jelinek, nos reunió a todos los comisionados en Austria y decidimos por común acuerdo y unanimidad identificar los casos estratégicos para poder actuar de manera coordinada y prioritaria, y eso está empezando a dar sus frutos», apostilla la directora de la Agencia Española de Protección de Datos.

ChatGPT

Otro ejemplo concreto es el requerimiento que Garante, la autoridad italiana de protección de datos, remitió a OpenAI, la compañía detrás del popular ChatGPT. En consecuencia de aquel requerimiento de información, OpenAI bloqueó el acceso a ChatGPT en Italia durante unas semanas. Los medios aseguraron entonces que Italia había bloqueado el chatbot, una aseveración matizable.

La propia AEPD propuso en un plenario del Comité Europeo de Protección de Datos abordar esas pesquisas sobre ChatGPT de forma coordinada. En palabras de España, «es bueno que las tecnológicas sientan esa coherencia y esa presión global. Que no vaya una autoridad de protección de datos por delante, que vayamos todas».

Labor de la AEPD

A nivel comunitario, la agencia española ha demostrado músculo. Es la autoridad nacional que más sanciones ha propuesto. «Las resoluciones de la AEPD son el 40% del volumen total», corrobora España. «Eso no implica que representen el 40% del importe total de las multas. Si comparamos el importe con las que han puesto nuestros colegas europeos estamos entre el 2% y el 3%».

Nuevamente, esta variación se explica con el hecho de que las grandes tecnológicas se concentran en otros países como Irlanda, y muchas de las sanciones que estipula el RGPD son en función del volumen de facturación de las compañías que puedan haber vulnerado el reglamento.

Pero, ¿por qué España eleva más resoluciones? La respuesta podría estar en el derecho nacional, que obliga a la AEPD a estudiar el 100% de las reclamaciones que recibe. «Otras autoridades nacionales, por la información que tengo, tienen más capacidad de discriminar».

Con todo, y más allá de las resoluciones —que es una de las labores más visibles de la AEPD—, el organismo ya está «muy por encima del esfuerzo humano que se podría haber hecho». La propia directora de la AEPD abundó en la primera entrega de esta entrevista que el organismo corre el riesgo de colapsar de no recibir más recursos.

«En estos 8 años se han publicado más de 100 guías y herramientas a coste cero. Se puede dar de sí hasta donde se llega. Mi obligación es decir que se ha superado el límite de lo humanamente sano para la salud mental del equipo que trabaja en la AEPD».

De esta forma, Mar España defiende la gestión de la AEPD con estos 5 primeros años de Reglamento de Protección de Datos. Sin él, el mundo digital «seguramente sería mucho más invasivo, no habría ni límites ni garantías». «La AEPD protege a las personas en su individualidad, lo más esencial de nosotros es nuestra identidad ideológica, sexual o religiosa. Nuestras comunicaciones íntimas».

«Nunca hasta ahora en la historia de la humanidad habíamos estado tan conectados pero al mismo tiempo tan vulnerables e influenciables. Es esencial que existan organismos como este». Aunque España cree que no todo puede recaer en el peso de la AEPD y agencias análogas. «Deberían existir pactos de Estado en materia de protección a las personas en el mundo digital».

La directora de la AEPD pone énfasis en la protección de la infancia o de la salud mental. «Debería empezar a trabajarse sobre temas que ya superan un poco en competencias a la AEPD, como salud digital y sus efectos en la salud mental». «La tecnología es maravillosa, gracias al mundo digital conseguimos no sentir soledad durante el confinamiento que fue tan duro», reconoce.

Un organismo todavía pendiente de renovación

España llegó a la dirección de la AEPD en 2015 y su mandato se ha venido prorrogando, primero, por el adelanto y luego la repetición electoral de 2019. Después, por los desencuentros entre los candidatos a ocupar la nueva presidencia del organismo, cuyos nuevos estatutos ya publicó el BOE hace unos años.

Ante ello, la todavía directora de la AEPD asevera que no le corresponde juzgar y que por supuesto acataron la sentencia del Tribunal Supremo que declaró la nulidad del procedimiento. «La AEPD mantuvo una actitud imparcial, neutra y discreta» ante el debate que se generó en los medios.

Pero sí cree que «es bueno» que las instituciones se renueven. «Desde el minuto uno me puse a disposición. Mi mandato era de 4 años y pedí que no hubiera transitoria para que no se ampliara a 5. Por circunstancias lamentablemente ajenas a mi voluntad se ha acabado ampliando a 8, pero creo que la independencia de la AEPD está fuera de toda duda».

«Lo que sí puedo transmitir es un mensaje alto y claro. La AEPD sigue funcionando a pleno rendimiento, pero confiando en que su renovación se pueda producir en un plazo de tiempo relativamente corto».

Ver noticia completa en fuente original: https://www.businessinsider.es/aepd-limite-equipo-hace-humanamente-posible-rgpd-1256442

Pedir una certificación a los DPD puede vulnerar la libre competencia

La figura del delegado de Protección de Datos (DPD) se ha convertido en un elemento clave para gestionar la privacidad de empresas y entidades públicas tras cinco años de haber entrado en vigor el reglamento de protección de datos europeo, que ha supuesto un cambio cualitativo en la forma de afrontar la privacidad de las empresas.

En este contexto, la Asociación Profesional Española de Privacidad (APEP) acaba de presentar las novedades de su Esquema de Certificación de Profesionales de la Privacidad (ECPP/APEP) para el sector que permite acreditar tanto conocimientos como experiencia y méritos.

Además, durante la presentación se puso de manifiesto la preocupación de los profesionales de la privacidad sobre determinadas prácticas de las administraciones públicas a la hora de confeccionar pliegos para la contratación de servicios de protección de datos.

Fruto de esta preocupación, la APEP ha remitido una consulta a la Comisión Nacional de los Mercados y la Competencia (CNMC) con el fin de poner en contexto esta realidad y aclarar si este tipo de licitaciones impiden la libre competencia en un sector no regulado y establecer políticas para que, en tal caso, los afectados puedan impugnar dichos pliegos.

En efecto, la APEP ha alertado de que establecer como requisitos imprescindibles en los pliegos de contratación la tenencia de una certificación específica y concreta puede ser una práctica que vulnera la competencia, dado que existen varias alternativas tanto nacionales como internacionales para obtener una certificación en la materia.

De hecho, recuerdan que no se trata de un sector regulado en el que sea obligatorio contar con una certificación concreta para optar a puestos de delegado de protección de datos en administraciones públicas, aspecto reconocido tanto por la normativa como por la Agencia Española de Protección de Datos…

Ver noticia completa en la fuente original: https://www.economistjurist.es/actualidad-juridica/pedir-una-certificacion-a-los-delegados-de-proteccion-de-datos-puede-vulnerar-la-libre-competencia

El Consejo de Transparencia y Protección de Datos de Andalucía inicia un procedimiento sancionador contra el Ayuntamiento de Camas por incumplimiento del RGPD

El Consejo de Transparencia y Protección de Datos de Andalucía ha decidido comenzar un procedimiento sancionador contra el Ayuntamiento de Camas, ubicado en la provincia de Sevilla, debido a la falta de un delegado de protección de datos designado, según informa una resolución emitida el pasado 3 de marzo. Este cargo es obligatorio según el Reglamento General de Protección de Datos (RGPD).

La resolución se produce tras una reclamación interpuesta en contra del Ayuntamiento, que denuncia un posible incumplimiento de la normativa de protección de datos personales. La figura del delegado de protección de datos es crucial en la garantía del cumplimiento de las obligaciones establecidas en la normativa de protección de datos y en la supervisión de las actividades relacionadas con el tratamiento de datos personales.

Por su parte, el Ayuntamiento de Camas ha informado que, en sus últimos tres proyectos presupuestarios, se contempló la contratación de una persona encargada de asumir las funciones de delegado de protección de datos. Actualmente, el consistorio se encuentra en proceso de licitación para la contratación de dicho profesional, habiendo enfrentado ciertos contratiempos en el ámbito administrativo.

El procedimiento que enfrenta el Ayuntamiento de Camas es un recordatorio de la importancia de cumplir con las normativas de protección de datos y de la responsabilidad que recae en las instituciones públicas para garantizar la seguridad y privacidad de la información de los ciudadanos. Es fundamental que las instituciones responsables de la protección de datos personales garanticen el cumplimiento de las regulaciones, a fin de proteger la privacidad y los derechos de los ciudadanos.

Se espera que en las próximas semanas se conozcan más detalles acerca de las acciones que tomará el Consejo de Transparencia y Protección de Datos de Andalucía en relación al caso del Ayuntamiento de Camas.

25.000 euros de multa por no contar con un DPD

La Audiencia Nacional ha confirmado la multa impuesta a la empresa de servicios de mensajería Glovo por la Agencia Española de Protección de Datos (AEPD) por no contar con un delegado de protección de datos (DPD). La sanción, de 25.000 euros, fue impuesta por la AEPD en agosto de 2020 por no disponer de una figura física o jurídica a la que dirigir las reclamaciones relacionadas con la protección de datos personales de los usuarios de la plataforma.

Glovo interpuso un recurso contencioso-administrativo ante la Audiencia Nacional en contra de esta resolución, alegando que contaban con un comité de protección de datos que realizaba todas las gestiones encargadas al delegado, pero la AEPD observó que no tenía a nadie nombrado en ese puesto. La empresa manifestó que de 2014 a 2018 la función de protección de datos la realizaba el servicio jurídico de la compañía y en 2018 y 2019 se llevaba a cabo a través del comité y un subcomité.

La Audiencia Nacional ha considerado que la actividad que realiza la empresa exige, necesariamente, que el usuario aporte su información personal y que los datos «son seguidos de manera habitual y sistemática por Glovo al estar ante una aplicación popularísima cuyas técnicas para obtener datos se emplean en actividades de mercadotecnia». Por tanto, se exige que la empresa efectúe un tratamiento de datos personales debiendo el encargado del tratamiento cumplir con absoluta plenitud las disposiciones del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) en el ejercicio de su actividad.

Además, los magistrados han señalado que una vez que el usuario introduce sus datos en la aplicación, recibe información de ofertas, oportunidades y descuentos, y que cualquier cantidad relevante puede poner en riesgo los datos de los usuarios que emplean la aplicación. Por tanto, la falta de un delegado de protección de datos supone una infracción del RGPD y LOPDGDD.

Es importante recordar que la figura del DPD, que puede ser una persona física o jurídica, está establecida en el artículo 37 del RGPD y es una figura clave en la protección de datos personales, ya que es la encargada de garantizar que el tratamiento de los datos personales se realiza de forma adecuada y de recibir y atender las reclamaciones de los usuarios en relación con la protección de sus datos personales.

La AEPD examinará si las designaciones de los DPD en España se ajusta a lo requerido por el RGPD

El Comité Europeo de Protección de Datos (CEPD), un organismo europeo que aglutina a las autoridades de control de protección de datos en Europa, ha anunciado una acción coordinada a nivel europeo en la que participará la Agencia Española de Protección de Datos (AEPD) junto con otras 26 autoridades de control nacionales, el Supervisor Europeo de Protección de Datos (SEPD) y las autoridades de Islandia, Liechtenstein y Noruega.

El objetivo de esta acción es examinar el papel de los delegados de protección de datos (DPD) en organismos públicos y privados. La figura de DPD está amparada por la legislación nacional y europea, y miles de entidades están obligadas a nombrar a una persona que asuma sus tareas. Sin embargo, desde que entró en vigor el Reglamento General de Protección de Datos (RGPD) en 2018, muchas empresas y administraciones han nombrado a un DPD solo para cumplir con el requisito legal, sin que en muchos casos las personas designadas sean profesionales competentes en la materia o con conocimientos suficientes en la misma, lo que se conoce popularmente como «encasquetamiento».

El CEPD ha destacado la importancia de los delegados de protección de datos como intermediarios entre autoridades de control, ciudadanos y negocios, y ha señalado que juegan un papel esencial en el cumplimiento de las leyes de protección de datos y en la promoción de los derechos de los usuarios sobre sus datos personales.

En el marco de esta acción coordinada, las autoridades de control nacionales enviarán cuestionarios a las entidades afectadas para evaluar si la situación de los delegados en sus organizaciones se ajusta a lo requerido en el RGPD. La AEPD, en concreto, analizará las prácticas de más de 30.000 entidades del sector público y privado, en distintos sectores de actividad como la educación, la banca y finanzas, la sanidad, la energía, la seguridad, las telecomunicaciones, los créditos, los juegos de azar y las apuestas.

Los cuestionarios buscarán determinar si estas empresas privadas u organismos públicos tienen conocimiento y experiencia al designar a sus delegados de protección de datos, y si conocen sus tareas y recursos, así como su papel y posición en sus organigramas. Los resultados de esta acción se analizarán de manera coordinada, y las autoridades de protección de datos podrán decidir acciones adicionales de supervisión y aplicación en función de esos resultados, que serán agregados, generando una visión más amplia y permitiendo un seguimiento específico del tema.

Fuente original: https://lopezdelemus.com/la-aepd-examinara-si-las-designaciones-de-los-dpd-en-espana-se-ajusta-a-lo-requerido-por-el-rgpd

La entidad ANF AC realiza convocatorias de exámenes mensuales en Madrid, Barcelona y Bilbao.

La entidad ANF AC realiza convocatorias de exámenes mensuales de certificado de Delegado de Protección de Datos en Madrid, Barcelona y Bilbao.

Las próximas convocatorias son el 21 de enero, 18 de febrero y 18 de marzo.

Toda la información en: https://anf.es/entidad-de-certificacion/

Publicada la Instrucción 1/2021, de 2 de noviembre, de la Agencia Española de Protección de Datos

El pasado día 5 de noviembre salió publicada en el BOE la Instrucción 1/2021, de 2 de noviembre, de la Agencia Española de Protección de Datos, por la que se establecen directrices respecto de la función consultiva de la Agencia, de conformidad con el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de esos datos, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el Estatuto de la Agencia Española de Protección de Datos, aprobado por el Real Decreto 389/2021, de 1 de junio.

Enlace a la instrucción: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2021-18134

La AEPD publica una nueva versión de su guía para notificar brechas de datos personales

La AEPD publica una nueva versión de su guía para notificar brechas de datos personales
rperezm
Lun, 05/24/2021

24 de Mayo de 2021
  • El documento tiene como objetivo guiar a los responsables de los tratamientos de datos personales en su obligación de notificarlas a las autoridades de protección de datos y de comunicarlas a las personas cuyos datos se hayan visto afectados
  • Las notificaciones y comunicaciones de brechas que afectan a datos personales son parte de la responsabilidad proactiva establecida en el RGPD
  • La Agencia ha gestionado casi 700 brechas de datos notificadas en 2021, la mayoría producidas por ataques externos e intencionados, siendo el ransomware la amenaza más frecuente

(Madrid, 25 de mayo de 2021). La Agencia Española de Protección de Datos (AEPD) ha publicado hoy una actualización de su ‘Guía para la notificación de brechas de datos personales’, un documento que tiene como objetivo guiar a los responsables de los tratamientos de datos personales en su obligación de notificarlas a las autoridades de protección de datos y comunicárselo a las personas cuyos datos se hayan visto afectados. Esta guía actualiza la versión publicada en 2018, cuando comenzó a aplicarse el Reglamento General de Protección de Datos (RGPD), e incluye la experiencia recogida en este tiempo, tanto a nivel nacional como en relación con los criterios establecidos por el Comité Europeo de Protección de Datos.

El principal propósito de esta actualización es facilitar el cumplimiento de forma eficaz y eficiente de los objetivos últimos de la notificación de brechas de datos personales: la protección efectiva de los derechos y libertades de las personas, la creación de un entorno más resiliente basado en el conocimiento de las vulnerabilidades de la organización y la garantía de una seguridad jurídica al disponer los responsables de un medio para demostrar diligencia en el cumplimiento de sus obligaciones.

Cualquier organización se encuentra expuesta a sufrir una brecha de datos personales que pueda repercutir en los derechos y libertades de las personas, y está obligada a gestionarla de forma adecuada. Este incidente puede tener un origen accidental o intencionado y, generalmente, ocasiona la destrucción, pérdida, alteración, comunicación o el acceso no autorizado a datos personales. La Guía comienza analizando qué es una brecha de datos personales y qué no lo es en el contexto del marco normativo europeo, nacional y sectorial. A continuación analiza cuándo hay que notificar dicha brecha a la autoridad de control, en qué plazo, o quién y qué contenido debe incluir esa notificación. En lo relativo a la comunicación a las personas afectadas, el documento recoge en qué casos hay que realizarla, el contenido y sus plazos.

Las notificaciones y comunicaciones relativas a brechas que afectan a datos personales forman parte de la responsabilidad proactiva establecida en el RGPD, y el hecho de notificarla o comunicarla no implica necesariamente la imposición de una sanción. De hecho, hacerlo en tiempo y forma es una evidencia de la diligencia de la organización, mientras que no cumplir con esa obligación sí está tipificado como infracción.

La Guía ofrece directrices para facilitar y simplificar el cumplimiento de estas obligaciones y, entre otros puntos, orienta sobre algunos plazos que el RGPD deja abiertos, como la notificación de una brecha de datos personales a la autoridad de control de forma gradual, los plazos para comunicarla a las personas cuyos datos se han visto afectados o los relativos a que los encargados de tratamiento informen a los responsables cuando se produce una brecha.

La Agencia ha gestionado más de 700 brechas de datos notificadas en los primeros cinco meses de 2021. La mayoría de ellas se han producido por un ataque externo e intencionado siendo el ransomware la amenaza más frecuente, comprometiendo no solo la disponibilidad sino también la confidencialidad de los datos personales.

Comunicación a los afectados

Como complemento a la presente Guía, la Agencia dispone de una herramienta llamada ‘Comunica-Brecha RGPD’, que ofrece ayuda a las organizaciones para decidir si deben comunicar o no una brecha de datos a las personas afectadas, una obligación independiente a la de notificar dicha brecha a la autoridad de control.

Este recurso se basa en un breve formulario en el que se recaban detalles que permiten aplicar unos criterios básicos indicativos del riesgo asociado a la brecha. Al completar el formulario, y en función de la información que haya sido facilitada, la herramienta aconsejará tres posibles escenarios: que se debe notificar la brecha de seguridad a las personas afectadas al apreciarse un riesgo alto; que no es necesaria dicha comunicación, o que no se puede determinar el nivel de riesgo. La decisión final debe tomarla el responsable en función de los aspectos específicos del tratamiento y de la brecha concreta. En ningún caso la Agencia almacena los datos consignados durante el proceso.