Consentimiento antes y después del 25 de mayo

Consentimiento antes y después del 25 de mayo

Hoy 25 de mayo hemos podido comprobar que ¡el mundo no se ha acabado!

Y, ante la avalancha de mensajes recibidos solicitando “refrescar el consentimiento” quería recordaros lo siguiente:

El único consentimiento que deja de tener validez es el consentimiento tácito; o lo que es lo mismo, enviar comunicaciones comerciales a aquellos clientes a los que prestamos servicios, sin haberles pedido permiso expresamente para enviar las mismas.

La cuestión es que, con la antigua ley ya había muchas empresas y actividades que hacían los deberes, pidiendo permiso por separado para enviarle estas comunicaciones a los clientes o usuarios interesados; por lo que, si ya recabaste el consentimiento de tus usuarios para enviarle comunicaciones con la antigua ley (y puedes demostrarlo) NO NECESITAS VOLVER A RECABAR EL CONSENTIMIENTO de nuevo.

¡Feliz comienzo del nuevo Reglamento!

David Muñoz de los Reyes
Conferencia nuevo Reglamento Europeo Protección de Datos

Conferencia nuevo Reglamento Europeo Protección de Datos

El pasado 5 de diciembre de 2018, la CÁMARA DE COMERCIO DE BARCELONA y la firma de abogados y economistas RAICH LÓPEZ DÍEZ celebraron una conferencia sobre ¿CÓMO CUMPLIR CON EL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS?, presentada por el socio responsable del área mercantil Abel López Royo e impartida por el abogado y profesor en materia de propiedad intelectual y privacidad, David Muñoz de los Reyes.

El nuevo Reglamento constituye la mejor respuesta ante la nueva Sociedad de la Información en la que nos encontramos inmersos, en la que el principal valor es la INFORMACIÓN y ante la ciudadanía más informada, más concienciada y más empoderada, la ciudadanía europea.

Para el pleno cumplimiento del RGPD se propuso a las entidades y compañías un Plan en 12 pasos:

1.  INFORMAR, de forma clara y precisa a las personas cuyos datos se pretenden tratar de ¿quién es el Responsable del Tratamiento?, ¿a quién le cederemos los datos?, ¿qué datos?, ¿para qué finalidades? Debiendo adaptar el mensaje a quien lo recibe.

2.  OBTENER EL CONSENTIMIENTO inequívoco y expreso de las personas y para cada finalidad que se pretendan tratar y/o ceder.

3.  EJERCICIO DE DERECHOS, no solo de los ya conocidos DERECHOS ARCO (Acceso, Rectificación, Cancelación u Oposición); sino de los nuevos derechos de limitación, derecho de portabilidad y derecho al olvido.

4.  OBLIGACIONES DE LOS TRABAJADORES, deben ser informados de ¿cómo tienen que tratar la información de la compañía responsable?, ¿cómo utilizar correctamente las herramientas de trabajo?, ¿cómo son los dispositivos informáticos que se ponen a su disposición?, ¿cómo usar los software, redes informáticas y bases de datos?, ¿cómo gestionar las incidencias?, obtener su compromiso de confidencialidad y hacerles saber que se realizará un control empresarial y las sanciones en caso de incumplimiento.

5.  CONTRATOS CON ENCARGADOS DE TRATAMIENTO, deben ser adaptados al nuevo RGPD debiendo regularse expresamente ¿a qué datos van a tener acceso?, ¿con qué finalidades? y las medidas de seguridad que deben aplicar. El Responsable debe velar por un correcto cumplimiento y contratar sólo con encargados que ofrezcan las garantías suficientes.

6.  DELEGADO PROTECCIÓN DE DATOS, un nuevo agente en esta área que nos ayudará a cumplir y convertir en valor nuestra protección de la privacidad, asesorándonos, haciendo de puente entre los usuarios y autoridades de control y las entidades y realizando las evaluaciones de impacto cuando se tengan que hacer. Deberán ser profesionales altamente cualificados a nivel técnico y jurídico, pudiendo las entidades tener las garantías de contratar a los profesionales adecuados a través de los certificados que entidades certificadoras.

7.  REGISTRO TRATAMIENTO, al igual que se inscribían ante la Agencia Española de Protección de Datos con la anterior normativa española los Ficheros, se deberá llevar un registro, esta vez interno, de los tratamientos de datos personales.

8.  EVALUACIONES DE IMPACTO sobre la privacidad que se deberán de hacer de aquellas aplicaciones y tratamientos de forma masiva y/o continuada de datos personales sensibles. En esta especie de auditorías se estudiarán el contexto en el que se realizará el tratamiento, se evaluarán los riesgos que podrían concurrir y se graduarán la gravedad y la probabilidad de que ocurran. Se darán finalmente las recomendaciones que mitiguen y/o eliminen dichos riesgos.

9.  CERTIFICADOS / CÓDIGOS DE CONDUCTA / BCR (Binding Compliance Rules), el RGPD fomenta estas útiles herramientas que servirán a las entidades cumplidoras a comunicar su buen hacer a los usuarios; ya que la privacidad vende cada vez más ante ciudadanos europeos cada vez más informados y empoderados. Se trata de Códigos de Autorregulación o Certificados como la ISO 27001 que garantizan un alto cumplimiento de la protección de la privacidad.

10. MEDIDAS DE SEGURIDAD que deberán asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los datos personales que tratamos, tales como: establecer protocolos de identificación y autenticación, contraseñas, archivo de información, registro y control de accesos, limitar el acceso a los datos personales a los estrictamente necesarios, durante el mínimo tiempo y sólo a aquellas personas que necesiten tratarlos; establecer políticas de destrucción y anonimización de los datos personales una vez finalizada su función; protocolos de copias de seguridad y protocolos que eviten brechas de seguridad y ciberataques; así que la información viaje y/o se almacene por medios encriptados.

11. TRANSFERENCIAS INTERNACIONALES, en caso de que se comuniquen datos fuera de la Unión Europea y/o a algún país que no se reconozca un nivel de protección óptimo, se deberá cumplir con las medidas establecidas y obtener las autorizaciones correspondientes de las autoridades de control.

12. FORMACIÓN continua, ya que la tecnología y el mundo están en constante cambio, debiéndonos adaptar para poder así ofrecer nuestro mejor hacer al máximo número de personas.

 Tenemos el plan a cumplir y la fecha. Ahora, podemos seguir durmiendo hasta que nos suene el despertador el próximo 25 de mayo; o bien, poner todo nuestro empeño en ello y transformar la obligación legal de proteger los datos personales en uno de nuestros principales valores empresariales y cuidado de nuestros datos.

¡Muchas gracias!

David Muñoz de los Reyes

La nueva sociedad de la información y la reforma de la Propiedad Intelectual

LA VANGUARDIA Togas – 10/02/05

No hace tanto tiempo que las nuevas tecnologías han cambiado nuestra forma de vida el acceso a la información y hasta la forma de disfrutar de la cultura en cualquier rincón del mundo.

Los cambios producidos por la combinación de los sectores informático y de las telecomunicaciones, nos han traído un nuevo concepto de sociedad, la llamada “Sociedad de la Información”, caracterizada por su capacidad ilimitada de acceder y compartir cualquier información, instantáneamente, desde cualquier lugar y en la forma que se prefiera.

Por otro lado, la entrada de la tecnología digital ha supuesto un salto cualitativo, al sustituir los clásicos soportes originales, como son el papel, el fonograma, o el videograma, por soportes digitales, que multiplican nuestra capacidad de almacenar, acceder y transmitir cualquier tipo de información.

(sigue)

Descargar artículo completo en pdf: La nueva sociedad de la información y la reforma de la Propiedad Intelectual

European Data Protection

European Data Protection

PLG – 01/09/01

The European Data Protection Directive (the “Directive”) must be adopted and adhered to by all European Economic Area Member States. The main aims of the Directive are the protection of an individual’s privacy in relation to the processing of personal data; and the harmonisation of Data Protection Laws throughout the Member States. Personal data is broadly defined as data or information which can identify a living individual, for example name and address, bank details, date of birth. The Directive sets out conditions where the processing of personal data is lawful.

Not surprisingly perhaps, the different European Economic Area Member States have interpreted the provisions of the Directive differently.

The Directive provides that, save for a few exceptions, data processing must only be done with the data subject’s consent. Processing, for the purposes of the Directive, includes obtaining, recording or holding information or data or carrying out any operation or set of operations on the information or data.

(sigue)

Descargar artículo completo en pdf: European Data Protection