Protección de Datos archiva la investigación contra El Corte Inglés por sus videocámaras

/en , /por

La Agencia Española de Protección de Datos (AEPD) ha archivado el procedimiento que había abierto contra El Corte Inglés tras sospechar que podía estar utilizando las cámaras de videovigilancia para grabar espacios públicos, cosa que solo pueden hacer las fuerzas de seguridad del Estado. La investigación fue abierta después de la denuncia de un ciudadano relativa al centro comercial que la mercantil tiene en Badajoz. El denunciante, que ya había ganado un proceso similar que acabó en sanción contra los grandes almacenes, argumentó que tres de las 66 cámaras que controlaban la instalación extremeña enfocaban hacia la vía pública.

LEER NOTICIA EN SU FUENTE ORIGINAL

FUENTE: EL CONFIDENCIAL 

La Agencia Española de Protección de Datos impone a Google una multa de 150.000 euros

/en /por

Google deberá hacer frente a una multa de 150.000 euros impuesta por la Agencia Española de Protección de Datos (AEPD) debido a una infracción de la actual Ley de Protección de Datos. La compañía advertía a las webs afectadas de qué enlace había sido retirado de su buscador, lo que, según la sentencia, pone en riesgo el derecho al olvido del demandante.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL 

FUENTE ORIGINAL: EL MUNDO.ES

Los padres pueden acceder a las calificaciones de sus hijos mayores de edad

/en /por

Cuando los progenitores mantienen un flujo de dinero en pensiones alimenticias y gastos escolares de sus hijos, pero la relación entre ambos no es buena, se suele producir una desinformación por parte de uno de los dos acerca del resultado de las calificaciones de sus hijos. Según Abogados de Familia «tienen un absoluto desconocimiento de si pudieran estar o no recibiendo alguna beca que podría reducir el coste de la matrícula»

Un informe de la Agencia Española de Protección de Datos avala quecualquier progenitor que se encuentre en el momento financiando los estudios de su hijo, pueda acceder a todas las calificaciones incluso si su hijo es mayor de 18 años. También se establece que si el progenitor está pagando una pensión alimenticia, su «interés legítimo» por acceder a los resultados escolares puede tener un mayor peso que el propio derecho a la intimidad y protección de datos del estudiante afectado, mayor de edad.

El documento, a su vez, indica que el hijo podrá negarse a la petición del progenitor. Por supuesto, siempre que tenga unos motivos fundados concretos según su situación personal.

«Podría darse el caso de que el hijo tenga una actitud de total desidia, no teniendo ningún aprovechamiento académico» explica la organización. Llegado este caso, siguiendo el informe de la Agencia de Protección de Datos,el progenitor podría pedir las calificaciones e información de una posible beca. Todo ello dirigiéndose de manera directa al centro de estudios, aunque se trate de un centro universitario.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL 

FUENTE ORIGINAL ABC.ES

La nueva letra pequeña de WhatsApp: cómo hará dinero con tus datos

/en /por

WhatsApp ha publicado la mayor actualización en cuatro años de su política de uso y privacidad. Abre las puertas a compartir tu número de móvil y datos con Facebook (pero lo puedes evitar).

Compartir casi todos tus datos con Facebook e intentar convertirse en una mina de oro. Son los dos frentes clave que WhatsApp acaba de cubrir con una gran actualización de sus términos de uso y privacidad que llegará pronto a tu móvil. Hacía más de cuatro años que no renovaba sus reglas. Y hay mucho más, desde polémicas cláusulas a otras que dan pistas sobre cómo empezará a ingresar dinero.

Entre todos los cambios, el más delicado es la decisión de enviar tu número de móvil y otros datos (como tu ubicación o los hábitos de uso de la aplicación) a Facebook y al resto de empresas propiedad de la red social. Son muchas, nueve, desde Instagram o la firma de realidad virtual Oculus a la ‘app’ de filtros Masquerade. WhatsApp asegura que no compartirá tus mensajes ni información de perfil (nombre, foto y estado), eso queda a salvo. Pero podrá enviar todo lo demás a la compañía de Zuckerberg. Y al revés: la red social también compartirá sus datos con WhatsApp. Afortunadamente, hay escapatoria (más detalles debajo sobre cómo evitarlo), pero han hecho todo lo posible para que acabes picando.

Ver noticia completa en fuente original:

http://www.elconfidencial.com/tecnologia/2016-08-26/whatsapp-facebook-mensajeria-privacidad_1251245/

La agencia de protección de datos investiga a movistar por recabar la geolocalización de sus clientes

/en , /por

La Agencia Española de Protección de Datos (AEPD) ha abierto un expediente sancionador a Movistar por la recogida de datos de geolocalización de sus usuarios, según confirmó este jueves el organismo a Servimedia.

El expediente se ha abierto después de una denuncia de Facua-Consumidores en Acción del pasado mes de junio. La asociación señaló que acceso a dichos datos supone que “Movistar podría tener constancia de si los usuarios acuden regularmente a algún centro médico, a la sede de algún partido político o un templo religioso”, información “especialmente protegida”.

Ver noticia completa en fuente original:

http://www.eleconomista.es/economia/noticias/7772645/08/16/La-agencia-de-proteccion-de-datos-investiga-a-movistar-por-recabar-la-geolocalizacion-de-sus-clientes.html

Multan a una tienda de Worten en Sevilla por vender un disco duro con datos de su plantilla

/en , /por

La Agencia Española de Protección de Datos (AEPD) ha multado a Worten con 10.000 euros tras haber vendido a un cliente como producto nuevo un disco duro ya usado, y en cuyo interior además se encontraban almacenados datos personales de todos los empleados de la empresa.

Andrés C.G., socio de FACUA Sevilla, había adquirido en una de las tiendas que la cadena tenía en la capital andaluza (cerró a principios de 2015) un disco duro teóricamente nuevo pero que en realidad ya había sido usado. Un fraude cometido por Worten que, sin embargo, destapó una segunda, e igualmente grave, infracción: al encender el aparato, el usuario advirtió que estaba lleno de datos personales y profesionales de los empleados de la cadena.

Ver noticia completa en fuente original: http://www.sevilladirecto.com/multan-a-una-tienda-de-worten-en-sevilla-por-vender-un-disco-duro-con-datos-de-su-plantilla/

Protección de Datos sigue su ‘guerra’ contra El Corte Inglés por las cámaras de vigilancia

/en , /por

La Agencia Española de Protección de Datos (AEPD) ha vuelto a poner en duda las intenciones de El Corte Inglés. El organismo ha abierto un nuevo expediente sancionador contra la cadena de distribución, al detectar otra vez que las cámaras de videovigilancia de uno de sus centros comerciales pueden grabar la vía pública. En concreto, esta vez el cuestionado es el establecimiento que el grupo tiene en Badajoz.

Se trata de la tercera vez en cinco años que la compañía es investigada por este asunto, después de que la agencia ya iniciara un expediente contra los centros que la mercantil tiene en Málaga (en 2011) y en Las Palmas, en 2015. En ambos casos, Protección de Datos impuso una multa contra El Corte Inglés. La de 2011 fue de 60.000 euros y la del año pasado, de 40.000.

Ver noticia completa en fuente original: http://blogs.elconfidencial.com/espana/el-confidente/2016-08-17/el-corte-ingles-agencia-espanola-de-proteccion-de-datos-camaras-video-vigilancia-ministerio-del-interior-policia_1247536/

Ejercicio del derecho de oposición frente a la publicación de datos personales en procesos selectivos de empleados públicos

/en , /por

La AEPD respalda que se atienda la petición de un candidato que solicita que en los listados sólo se publique su número de DNI pero no asociado a su nombre y apellidos.

La Agencia Española de Protección de Datos (AEPD) ha publicado un informe en el que examina en qué medida una persona puede oponerse a que se difundan su nombre y apellidos cuando se presenta a un proceso selectivo de la Administración Pública. El dictamen de la Agencia especifica que este tipo de procedimientos selectivos están presididos por los principios de transparencia y publicidad como garantes del principio de igualdad. De hecho, la Audiencia Nacional ha ponderado el principio de publicidad con la protección de datos de carácter personal, llegando a la conclusión de que durante la tramitación del proceso selectivo debe prevalecer el primero. En consecuencia, la AEPD recoge en su informe que no cabría ejercitar el derecho de oposición respecto de los datos de carácter personal que sean necesarios para el cumplimiento del principio de publicidad y transparencia del proceso selectivo. Para ello, deberán examinarse qué datos se están publicando y hasta qué punto son necesarios para el cumplimiento de dichos principios. Es decir, en este punto existe una ley que, al consagrar el principio de publicidad, expresamente prevé el tratamiento de datos de carácter personal, sin que pueda cesarse en el tratamiento para lograr el buen fin del proceso selectivo. Y se entiende implícitamente otorgado el consentimiento para el tratamiento de datos al aceptar las bases y efectuar la solicitud de participación. Por último, el texto plantea si cabe la sustitución, en las diferentes fases del procedimiento selectivo que vayan a ser publicadas, del nombre y apellidos por el DNI para concluir que, con carácter general, podrá sustituirse el nombre y apellidos por el DNI puesto que el mismo tiene suficiente valor, por sí solo, para acreditar la identidad de las personas. La Agencia considera que al incluirse dicho número sin indicación del nombre y apellidos de su titular se está dando adecuado cumplimiento al principio de proporcionalidad.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: HUELVA INFORMACIÓN

Catalá: “»El reto de asumir el Reglamento no debe hacer olvidar las nuevas oportunidades que ofrece»”

/en , /por

El ministro de Justicia en funciones ha inaugurado la 8ª Sesión Anual Abierta de la AEPD, que se ha consolidado como punto de encuentro con representantes de entidades, empresarios y profesionales de la protección de datos.

  • El titular de Justicia en funciones ha calificado el nuevo Reglamento General de Protección de Datos como “el principal hito en esta materia en los últimos años”
  • La directora de la AEPD, Mar España, ha recomendado a las entidades una “adaptación progresiva” al Reglamento antes de que sea aplicable
  • La Agencia está preparando herramientas sencillas que ayuden a las pymes a cumplir con la nueva normativa y ha puesto en marcha dos estudios sobre big data

El ministro de Justicia en funciones, Rafael Catalá, ha inaugurado la 8ª Sesión Anual Abierta de la Agencia Española de Protección de Datos, en cuya apertura también ha participado la directora de la AEPD, Mar España Martí. Este evento, que por primera vez se ha retransmitido en streaming, se ha consolidado como punto de encuentro entre el organismo público y representantes de entidades, empresarios y profesionales de la protección de datos, proporcionando una exposición y un análisis detallado de las novedades acaecidas en el último año en relación con este derecho fundamental.

El ministro de Justicia en funciones ha abordado los retos a los que se enfrenta la protección de datos en un contexto influido por circunstancias como el nuevo esquema para las transferencias internacionales de datos entre la UE y EEUU (Privacy Shield). En este sentido, ha confiado en que la Comisión Europea pueda adoptar a corto plazo una decisión que permita “dotar de mayor fluidez a las transferencias de datos a EEUU con suficientes garantías para los derechos de los ciudadanos europeos”. Para Catalá, el hecho de que los mecanismos de transferencia internacional de datos no contemplen un nivel equiparable de protección podría producir un efecto indeseado para las empresas europeas “que se situarían en una situación de desventaja competitiva” frente a las de terceros países. Por ello, mantener la continuidad en la garantía del derecho a la protección de datos no sólo es “una exigencia” sino también “un elemento necesario para garantizar la competitividad”.

El titular de Justicia en funciones también ha analizado la aprobación del nuevo Reglamento General de Protección de Datos (RGPD), al que ha calificado como “el principal hito en esta materia en los últimos años”. Ante la aplicación de la nueva normativa el 25 de mayo de 2018, Catalá ha instado a todos los agentes implicados en el proceso a “aprovechar al máximo” este periodo transitorio para preparar la plena aplicabilidad del Reglamento. En este contexto, el ministro ha señalado que “tenemos dos años de trabajo intenso por delante” y que “el reto de asumir el Reglamento no debe hacer olvidar las nuevas oportunidades de mejora que ofrece en la protección de los derechos de los ciudadanos”.

Por su parte, la directora de la AEPD, Mar España, se ha referido a que “la Agencia está comprometida con conseguir que la aplicación del Reglamento se produzca con pleno respeto a sus disposiciones” y, al mismo tiempo, “desde la flexibilidad que una operación de esta esta envergadura requiere y en una situación en la que las empresas y profesionales cuenten con todos los recursos teóricos y materiales necesarios para ponerlo en práctica”.

La transición desde el modelo de cumplimiento actual al que fija el nuevo Reglamento también ha sido objeto de análisis por parte de la directora de la AEPD, que ha puesto de manifiesto las implicaciones prácticas más importantes que conviene que las entidades conozcan para afrontar la aplicación del Reglamento. El consentimiento inequívoco, la información que debe ofrecerse a los ciudadanos antes de tratar sus datos, los esquemas de certificación o la realización de evaluaciones de impacto han sido algunos de los temas tratados.

En este sentido, la directora de la Agencia ha recomendado a las entidades una “adaptación progresiva” de sus procesos en materia de protección de datos, de forma que se puedan detectar las posibles dificultades en su aplicación y tomar medidas que permitan solucionarlas.

En cuanto al cumplimiento del RGPD por parte de las pymes, la Agencia ha anunciado que está preparando herramientas que sean útiles para cumplir con el Reglamento. Entre ellas, un recurso online orientado a aquellas que realicen tratamientos de bajo o muy bajo riesgo, de forma que puedan constatar de una manera sencilla que se encuentran en esa situación y, a la vez, disponer de una lista de las medidas que tienen que implantar en función de ese bajo riesgo. Además, está previsto que este recurso se complemente con otros más avanzados, orientados a las pymes que desarrollan tratamientos que conllevan un riesgo algo mayor como consecuencia de alguna circunstancia concreta, como el manejo de datos sensibles.

Por otro lado, la directora de la Agencia ha repasado el grado de ejecución del Plan Estratégico 2015-2019 en los siete meses transcurridos desde su aprobación, subrayando que se han puesto en marcha un total de 67 iniciativas, entre las que se encuentra la creación de un canal de comunicación para atender las cuestiones planteadas en relación con la protección de datos de menores o la reciente convocatoria de un Premio a las Buenas Prácticas Educativas en Privacidad y Protección de Datos. Asimismo, la directora de la AEPD ha anunciado que se está ultimando la ‘Guía sobre los derechos de los ciudadanos’ así como los materiales que forman parte de la iniciativa ‘Privacidad y seguridad en internet. Guía esencial’, realizados junto al INCIBE.

Tras la apertura de la Sesión se ha presentado la Unidad de Evaluación y Estudios Tecnológicos, creada para evaluar las implicaciones que las nuevas tecnologías pueden tener para la privacidad. Estos estudios -cuyo fin es conocer las funcionalidades y la forma en que almacenan, tratan y comunican los datos personales que recogen estos productos y servicios- se centrarán en tecnologías como big data, internet de las cosas, aplicaciones móviles, datos biométricos o drones, entre otras.

Esta Unidad trabaja en dos estudios sobre big data: uno general, centrado en las soluciones que se aplican en el entorno empresarial y comercial, y otro sobre la reutilización de información clínica y análisis masivo de datos en el sector sanitario. Una vez examinados los resultados, la AEPD realizará un análisis de sus implicaciones en la protección de datos personales para promover la adopción de buenas prácticas y hacer recomendaciones.

Las últimas novedades sobre informes y sentencias relevantes del Gabinete Jurídico; la actualización de criterios de la Agencia; el enfoque de la prevención en el tratamiento de datos, y la aproximación al Reglamento Europeo de Protección de Datos desde diferentes perspectivas (principios y derechos; obligaciones de responsables y encargados; códigos de conducta, certificaciones y transferencias internacionales, o la supervisión y régimen sancionador) han sido otros de los temas abordados durante la Sesión.

LEER NOTA INFORMATIVA  COMPLETA

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Implicaciones prácticas del Reglamento General de Protección de Datos para entidades en el periodo de transición

/en , /por

La Agencia recomienda a las organizaciones que vayan adaptando sus procesos, ya que la nueva normativa supone una gestión distinta de la que se viene empleando.

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD). Aunque no comenzará a aplicarse hasta dos años después, es importante que las organizaciones vayan adaptando sus procesos, ya que la nueva normativa supone una gestión distinta de la que se viene empleando.

La Agencia Española de Protección de Datos (AEPD), en su faceta preventiva, quiere fomentar que las entidades puedan conocer las posibles dificultades en su aplicación para tomar medidas que permitan solventarlas. A continuación se analizan algunas de las implicaciones prácticas que conviene que las entidades conozcan para afrontar el momento en el que el Reglamento sea aplicable. La AEPD está comprometida con conseguir que la aplicación del RGPD se produzca con pleno respeto a sus disposiciones y, al mismo tiempo, con ofrecer la mayor flexibilidad posible.

1. Consentimiento

El Reglamento requiere que las personas cuyos datos se tratan presten su consentimiento mediante una manifestación inequívoca o una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que actualmente permite la normativa española. Los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD sólo seguirán siendo válidos como base de tratamiento si se obtuvieron respetando los criterios fijados por el propio Reglamento.

La Agencia aconseja que las organizaciones que en estos momentos utilizan el llamado consentimiento tácito como base para los tratamientos comiencen tanto a revisar los consentimientos ya obtenidos para adecuarlos al Reglamento como a utilizar mecanismos acordes con la nueva legislación. A partir de mayo de 2018, sólo tendrán legitimación suficiente los tratamientos basados en el consentimiento inequívoco, con independencia de cuándo se haya obtenido ese consentimiento.

2. Información

En materia de información el RGPD incluye cuestiones adicionales que actualmente no son requeridas por la normativa española. Cabe plantearse, por tanto, qué va a suceder con todas las cláusulas informativas utilizadas con anterioridad a mayo de 2018 una vez que el Reglamento sea de aplicación.

Este periodo transitorio debería ser utilizado por las organizaciones para realizar una adaptación progresiva por varias vías. Por una parte, muchas organizaciones pueden proporcionar esa información adicional sin costes o esfuerzos excesivos utilizando para ello sus páginas web o aprovechando los canales de comunicación regulares que puedan mantener con sus clientes. Estas buenas prácticas contribuirían a reducir el número de casos en que las cláusulas informativas presenten carencias cuando el Reglamento sea de aplicación.

Al mismo tiempo, es aconsejable que las organizaciones adapten sus políticas informativas a lo dispuesto por el Reglamento. Hay algunas cuestiones donde esa información dependerá de la adopción de otras decisiones, como puede ser el proporcionar los datos del Delegado de Protección de Datos. Esos datos no podrán trasladarse a los interesados hasta que ese Delegado no sea designado en los casos en que el Reglamento lo hace obligatorio o cuando las organizaciones decidan voluntariamente nombrarlo pero otros elementos sí pueden ya anticiparse y, en la medida de lo posible, incorporarse sin dilación a las informaciones que se proporcionan a los interesados.

3. Evaluaciones de impacto sobre la protección de datos

La realización de Evaluaciones de Impacto sobre la protección de datos –aplicables de forma obligatoria en ciertos tratamientos- tiene carácter previo a la puesta en marcha de los mismos y tiene como objetivo minimizar los riesgos que un tratamiento de datos plantea para los ciudadanos. La realización de estas Evaluaciones tiene carácter previo a la puesta en marcha de los correspondientes tratamientos. Por ello, posiblemente no sería acorde con el espíritu del Reglamento exigir que todo tratamiento que pueda potencialmente suponer un alto riesgo para los derechos de los interesados deba ser objeto de una Evaluación de Impacto pese a haber comenzado antes de que resulte aplicable.

La Agencia considera que no debería esperarse a la fecha en que la realización de las evaluaciones resulte obligatoria para comenzar a utilizar esta herramienta, ya que requiere de preparación, elección de la metodología adecuada, identificación de los equipos de trabajo y otra serie de condiciones que no pueden improvisarse.

Comenzar a incorporar este sistema a la actuación de las organizaciones no sólo va a permitirles estar en mejores condiciones en el momento en que resulte obligatorio para algunas de ellas, sino que también les permitirá asegurar el cumplimiento no ya del futuro Reglamento, sino incluso de la actual normativa.

4. Certificación

El Reglamento concede una atención especial a la implantación de esquemas de certificación y abre diversas posibilidades para su gestión. Las certificaciones pueden ser otorgadas por las Autoridades de protección de datos, tanto individual como colectivamente desde el Comité Europeo, o por entidades debidamente acreditadas. Al mismo tiempo, en el caso de optarse por esta última alternativa, la acreditación pueden llevarla a cabo las propias Autoridades o encargarlo a las entidades de acreditación previstas en la normativa europea sobre normalización y certificación. En todo caso, en la elaboración de los criterios tanto para acreditar entidades como para certificar a las organizaciones tienen diferentes grados de participación las autoridades de supervisión y el Comité Europeo.

La AEPD entiende que, de entre estas posibilidades, la que mejor responderá a las necesidades de las entidades al tiempo que es compatible con la configuración y posibilidades de actuación de la Agencia es la de encomendar la certificación a entidades especializadas debidamente acreditadas y dejar que se ocupe de la acreditación de éstas la Entidad Nacional de Acreditación (ENAC), contando para ello con la participación de la Agencia.

5. Delegados de protección de datos. Certificación

El Reglamento requiere que los Delegados de Protección de Datos (DPD) sean nombrados en función de sus cualificaciones profesionales, en especial su conocimiento en materia de protección de datos, y su capacidad para el desempeño de sus funciones. Sin embargo, no establece específicamente cuáles han de ser esas cualificaciones profesionales ni tampoco el modo en que podrán demostrarse ante las organizaciones que deban incorporar esta figura. De hecho, el Reglamento indica en uno de sus considerandos que la valoración de estas aptitudes y conocimientos deberá realizarse no tanto en función de criterios externos como de las necesidades de los tratamientos concretos que cada organización lleve a cabo.

La Agencia considera que no es oportuno establecer un sistema de certificación de Delegados de Protección de Datos que opere como requisito para el acceso a la profesión.

En este momento, ya existe una oferta de certificaciones y titulaciones que respaldan conocimientos, experiencia o práctica en el ámbito de la protección de datos. Esas titulaciones están llamadas a jugar un papel relevante en el desarrollo de las profesiones relacionadas con la protección de datos en la medida en que pueden servir como un elemento más, aunque no sea necesariamente único, para que la organización que tiene que designar un DPD pueda tener constancia de la formación o cualificaciones de los posibles candidatos.

Para que la oferta de certificaciones y titulaciones funcione de manera rigurosa es necesario que estas reúnan unos requisitos que permitan que las entidades que los reciban puedan tener un razonable grado de certeza sobre lo que reflejan.

La Agencia está valorando la posibilidad de promover la aplicación de la acreditación de entidades de certificación de profesionales con arreglo a estándares ya establecidos. Esta acreditación, que llevaría a cabo la Entidad Nacional de Acreditación (ENAC) de acuerdo con lo previsto en esos estándares y con las peculiaridades propias del sector, serviría para constatar que la entidad que expide los títulos, certificados o certificaciones lo hace con arreglo a unos determinados procedimientos y requisitos. La acreditación no se pronuncia sobre la calidad de los contenidos de la formación o de los aspectos que se certifican.

El hecho de que algunas entidades se acrediten no implicará necesariamente que otras que no lo hagan no apliquen los mismos criterios ni tampoco que la posesión de la titulación o certificación sea la única vía para acceder a un puesto de Delegado de Protección de Datos.

La Agencia considera que estas cuestiones tendrían un carácter instrumental orientado a ofrecer apoyo a las organizaciones a la hora de designar a un DPD. No obstante, en ningún caso excluyen que profesionales con formaciones procedentes de centros no acreditados o sin una formación específica pero con experiencia profesional puedan desempeñar las funciones de Delegado si su currículo muestra que reúnen los requisitos de conocimiento y cualidades profesionales que el Reglamento establece.

6. Relación entre responsables y encargados

El Reglamento describe un contenido mínimo de los contratos de encargo de tratamiento que excede las previsiones contempladas en la Directiva. En el caso español, la LOPD ya contempla la inclusión de algunos de esos contenidos en los contratos, aunque hay diferencias entre esta y en RGPD en relación a los requisitos fijados.

El contrato es el documento que determina las obligaciones de las partes ante la prestación del servicio de encargo que se acuerda. Por ello, debe respetar en todo caso el contenido fijado por el Reglamento ya que, en caso contrario, no se estarían trasladando a los encargados las obligaciones que el Reglamento específicamente prevé.

Este momento de transición entre la entrada en vigor y la aplicación del RGPD debería aprovecharse para llevar a cabo dos acciones paralelas. En primer lugar, para abordar la revisión de los contratos ya existentes y que se refieran a encargos con vocación de prolongarse en el tiempo, de forma que en mayo de 2018 sean compatibles con las disposiciones del Reglamento. En segundo lugar, para comenzar a incluir en las nuevas cláusulas contractuales todos los elementos que el Reglamento considera necesarios.

La Agencia, en colaboración con las Agencias autonómicas, está trabajando en la preparación de unas recomendaciones para los contratos de encargo. No se trata de los modelos de contrato a que se refiere el Reglamento debido a que esos modelos requieren de aprobación por parte del Comité Europeo de Protección de Datos -que aún no se ha establecido-, si bien tienen el objetivo de servir de orientación en esta primera etapa para que las organizaciones respondan a los nuevos requerimientos.

7. Herramientas para pymes y herramientas sectoriales

La Agencia está trabajando en la preparación de herramientas que ayuden a responsables y encargados al entendimiento y cumplimiento del Reglamento. Entre ellas, hay que destacar un recurso online orientado a las pymes que realicen tratamientos de bajo o muy bajo riesgo, de forma que puedan constatar de una manera sencilla que se encuentran en esa situación y, a la vez, disponer de una lista de las medidas que tienen que implantar en función de ese bajo nivel de riesgo.

Está previsto que este recurso se complemente con otros más avanzados, orientados a las pymes que desarrollan tratamientos que conllevan un nivel de riesgo algo mayor como consecuencia de alguna circunstancia concreta -como puede ser el manejo de datos sensibles- y que incluirá un apartado dedicado a las medidas de seguridad que deben implantarse.

La AEPD está trabajando junto a las Agencias autonómicas en cláusulas informativas adaptadas al nuevo Reglamento para sectores o tratamientos diferenciados. Así, está previsto ofrecer una serie de recomendaciones o criterios para ayudar a reflejar los distintos puntos que el Reglamento exige en la información.

LEER NOTA INFORMATIVA  COMPLETA

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS