ESTATAL ABRIL 2010. Índice de contenidos:



Documentos relacionados
Aviso Legal. Entorno Digital, S.A.


El artículo 45 del Reglamento antes citado, desarrolla este precepto, precisando lo siguiente:

CÓMO AFECTA A LOS AUTÓNOMOS Y PYMES LA ANULACIÓN DE SAFE HARBOR (PUERTO SEGURO) SOBRE TRANSFERENCIAS INTERNACIONALES DE DATOS

5.1 REGISTRO DE FICHEROS Análisis de los datos tratados Inscripción de los ficheros... 5

Gabinete Jurídico. Informe 0545/2009

Gabinete Jur?dico. Informe 0147/2013

COMENTARIO A LEY 20/2007, DE 11 DE JULIO, DEL ESTATUTO DEL TRABAJADOR AUTÓNOMO, SOBRE ASPECTOS DE LA SEGURIDAD Y SALUD LABORAL

1.- Objetivo y descripción del funcionamiento

INFORME UCSP Nº: 2011/0070

LOPD EN LA EMPRESA. Cómo proteger el acceso a los datos en formato automatizado (parte I) Proteger el acceso al servidor.

CONCLUSIONES. De la información total que acabamos de facilitar al lector podemos realizar el siguiente resumen:

Según el artículo 4.1 de la Ley Orgánica, Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como.

LOPD EN LA EMPRESA. Qué incidencias deben registrarse de cara a la LOPD?

Cómo proteger el acceso a los datos en formato automatizado (parte I)

I. DISPOSICIONES GENERALES

LA LOPD EN LA EMPRESA. Cómo proteger el acceso a los datos en formato automatizado (parte I) Proteger el acceso al servidor.

MINISTERIO DEL INTERIOR SECRETARÍA GENERAL TÉCNICA


GUÍA LEGAL: Regulación básica del comercio electrónico

Informe Jurídico 0494/2008

CONSEJERÍA DE SALUD MANIPULADORES DE ALIMENTOS SITUACIÓN ACTUAL

CLOUD COMPUTING: ASPECTOS LEGALES Y/O NORMATIVOS

Gabinete Jurídico. Informe 0600/2009

Conceptos Fundamentales

Gabinete Jurídico. Informe 0076/2014

CONTRATO DE ACCESO A DATOS PERSONALES ENTRE RESPONSABLE DEL FICHERO

Registro de Contratos de seguro con cobertura de fallecimiento. Informe 125/2006

Gabinete Jurídico. Informe 0290/2008

CAPÍTULO V. CONCLUSIONES Y RECOMENDACIONES. La franquicia es una figura jurídica regulada en la ley de propiedad industrial,

Nuevo Reglamento de prevención del blanqueo de capitales y de la financiación del terrorismo

La prórroga del plazo se gestionará como una nueva solicitud.

Cómo afecta la Ley Orgánica de Protección de Datos de carácter personal a un Administrador de fincas y a las Comunidades de Propietarios que gestiona

b) Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

Diputación de Albacete. Paseo Libertad, Albacete. Tel Fax Guía

PROCEDIMIENTO DE PRESTACIÓN DE SERVICIOS TECNOLÓGICOS

MODELO 6. Política de Privacidad, Protección de Datos y Formularios de contacto.

Fuente: Diario Palentino.es (15/02/2013). Para ver la noticia completa pulse aquí.

Módulo 7: Los activos de Seguridad de la Información

Estatuto de Auditoría Interna

Gabinete Jurídico. Informe 0298/2009

Conservación de datos de carácter personal relativos a los números de tarjeta de crédito de clientes. Informe 127/2006

Gabinete Jurídico. Informe 0049/2009

que sea suficiente a estos efectos una marca lógica o el mantenimiento de otro fichero alternativo en el que se registren las bajas producidas.

Tratamiento de datos personales con fines publicitarios

Gabinete Jurídico. Informe 0084/2009

Cuándo y qué virtualizar? Cuándo y qué virtualizar? 1

Ficheros creados al amparo de la Ley 12/2003, de 21 de mayo, de prevención y bloqueo de la financiación del terrorismo.

CONTRATO DE CESIÓN DE USO DE APLICACIÓN INFORMÁTICA

RP-CSG Fecha de aprobación

Ley Orgánica de Protección de Datos

LOPD EN LA EMPRESA. Las cámaras de vigilancia y el cumplimiento de la LOPD

Contabilidad. BASE DE DATOS NORMACEF FISCAL Y CONTABLE Referencia: NFC ICAC: Consulta 2 BOICAC, núm. 98 SUMARIO:

2.2 Política y objetivos de prevención de riesgos laborales de una organización

DOSSIER DE SERVICIOS [hello customer!] [Diseño web Programación a medida Posicionamiento SEO Bases de datos 3D LOPD Marketing Móvil]

Sistemas de Gestión de Calidad. Control documental

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

Fuente: Ministerio de Economía y Hacienda.

FUNDACIÓN TRIBUNAL ARBITRAL DEL ILUSTRE COLEGIO DE ABOGADOS DE MÁLAGA

DUDAS FRECUENTES LOPD

gestión económica programación económica gestión financiera contratación administrativa

Gabinete Jurídico. Informe 0542/2009

Dale Impulso. Dos) Proyecto Crowd-Funding.

2. QUE ENTENDEMOS POR COMERCIO ELECTRONICO

Monitor Semanal. Tributario y Legal. Departamento de Asesoramiento Tributario y Legal

DOCUMENTO DE CLASIFICACIÓN DE CLIENTES

Entendemos que la actualización no es estrictamente necesaria si bien en algunos temas podría ser conveniente.

ICTE NORMAS DE CALIDAD DE AGENCIAS DE VIAJES REGLAS GENERALES DEL SISTEMA DE CALIDAD. Ref-RG Página 1 de 9

ORIENTACIONES. para. PRESTADORES de SERVICIOS. Cloud. Computing

LEGÁLITAS MULTIRRIESGO INTERNET PYMES Y AUTÓNOMOS

CONTRATAS Y SUBCONTRATAS NOTAS

INFORME: PROTECCION DE DATOS OBLIGACIONES Y SANCIONES

LIBRO I.- NORMAS GENERALES PARA LA APLICACIÓN DE LA LEY GENERAL DE INSTITUCIONES DEL SISTEMA FINANCIERO

6. PUBLICIDAD E IMPUGNACION DEL INFORME DE LA ADMINISTRACIÓN CONCURSAL

Las diez cosas que usted debe saber sobre las LICENCIAS de los derechos de Propiedad Industrial e Intelectual

El contrato de acceso a datos por cuenta de terceros

L.O.P.D. Ley Orgánica de Protección de Datos

La Empresa. PSST Control de la Documentación Norma OHSAS 18001:2007

MONITOR. Guía de Apoyo Abreviada

CLL 57 No Of Tel

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Introducción a la Firma Electrónica en MIDAS

Recomendaciones relativas a la continuidad del negocio 1

Cambio en el Servicio de Prevención de riesgos laborales y cesión de datos de salud. Informe 391/2006

Cesión de datos de salud a aseguradoras de asistencia sanitaria por profesionales de la medicina. Informe 449/2004

Guía paso a paso para emprender en México!

AVISO LEGAL y POLITICA DE PRIVACIDAD

BORRADOR DE PROYECTO DE REAL DECRETO POR EL QUE SE REGULA EL DEPÓSITO LEGAL DE LAS PUBLICACIONES ELECTRÓNICAS

d. En la cuarta hipótesis, el responsable del tratamiento establecido

BURALTEC LOPD. Comunicación de datos entre Administraciones Públicas

IAP TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO)

RESUMEN Seguros-Hojas de reclamaciones

SEGURIDAD DE LA INFORMACIÓN

IAP CONSIDERACIONES PARTICULARES SOBRE LA AUDITORÍA DE LAS EMPRESAS DE REDUCIDA DIMENSIÓN

Aplicación de Justicia Móvil AZ de la ACLU-AZ Política de Privacidad

PRIMERA: Importe neto de la cifra de negocios.

Aviso Legal, Política de Privacidad y Protección de Datos, para incluir en las páginas Web.

Gabinete Jurídico. Informe 0033/2009

REGLAMENTO SOBRE LAS PRACTICAS EN EMPRESAS ESCUELA UNIVERSITARIA POLITECNICA DE LA ALMUNIA DE DOÑA GODINA (ZARAGOZA)

Transcripción:

ABRIL 2010 Índice de contenidos: Novedades LEGISLATIVAS y JURISPRUDENCIALES Tema de análisis: El CONCEPTO de RESPONSABLE de TRATAMIENTO AGENCIAS Conocer las AMENAZAS a nuestra intimidad: Nuestra INFORMACIÓN en la NUBE Novedades LEGISLATIVAS y JURISPRUDENCIALES ESTATAL Comunicado de la Fundación Tripartita a las empresas que aprovechan las bonificaciones formativas para la contratación de servicios de protección de datos La Fundación Tripartita para la Formación en el Empleo ha publicado en su página web www.fundaciontripartita.org un comunicado en el que advierte de la existencia de empresas que ofrecen de manera gratuita servicios de adaptación, implantación, auditoría y asesoría jurídica en materia de protección de datos a coste cero, financiándolos con cargo a créditos asignados para la formación, un hecho que puede llegar a ser constitutivo de fraude. Tal como indica la Fundación, estos créditos sólo pueden destinarse a la realización de acciones formativas y permisos individuales de formación de los trabajadores. La Fundación ha iniciado un proceso de comprobación de estos hechos y ha puesto en marcha mecanismos de control para verificar las bonificaciones practicadas y evitar que siga esta práctica. Las empresas que se hayan bonificado deberán devolver los importes correspondientes y atenerse a las actuaciones que lleven a cabo el Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social. Por último la Fundación ofrece un e-mail de contacto (servicioalcliente@fundaciontripartita.org) al que se pueden comunicar ofertas de este tipo de servicios. 1

Avances en la Administración Electrónica Si en el Boletín de Enero indicábamos que no se exteriorizaban las novedades legislativas en el ámbito de la Administración Electrónica y que además faltaban aspectos tan importantes como la regulación de la seguridad de estas plataformas, en este trimestre se han producido grandes avances en este sentido, aprobándose en relación a este punto los Esquemas de Seguridad e Interoperabilidad que establecen los principios básicos para asegurar la protección adecuada de la información y los servicios relacionados con la Administración Electrónica. Además por Orden ministerial de 5 de abril se ha aprobado el régimen del sistema de dirección electrónica habilitada, previsto en el Real Decreto 1671/2009. Esta regulación permitirá que en el marco de la Administración General del Estado se habilite un sistema de dirección electrónica controlado por el Ministerio de la Presidencia. De esta forma, en los casos en que los organismos competentes no hayan previsto un sistema propio de notificaciones y sobre todo pensando en los casos en que la notificación electrónica fuera considerada obligatoria, se dispondrá de este mecanismo que permitirá la puesta a disposición del interesado de la notificación. En caso de notificación obligatoria, la dirección electrónica habilitada si no es solicitada por el interesado, será asignada de oficio. Se establece un plazo de tres meses para aplicar lo establecido en esta Orden. Reforma de la Ley de Ordenación del Comercio Minorista Ya comentamos en el boletín del mes de enero la aprobación de la Ley 17/2009, de 23 de noviembre, sobre el libre acceso a las actividades de servicios y su ejercicio. Esta ley suponía la transposición de la Directiva 2006/123/CE, relativa a los servicios en el mercado interior, que imponía a los Estados miembros la obligación de eliminar todas las trabas jurídicas y barreras administrativas injustificadas a la libertad de establecimiento y de prestación de servicios. Pues bien, el 1 de marzo se aprobaba la Ley 2/2010, de reforma de la Ley 7/1996, de 15 de enero, de Ordenación del Comercio Minorista, con el fin de adaptar esta regulación a esta Directiva. De este modo, se pretende con esta nueva regulación facilitar el libre establecimiento de servicios de distribución comercial y su ejercicio, sin dejar de atender, por otro lado, las necesidades de los consumidores. De este modo, la normativa prevé que, con carácter general, la instalación de establecimientos comerciales no estará sujeta a régimen de autorización. Excepcionalmente las autoridades competentes podrán establecer un régimen de autorizaciones administrativas sólo cuando ello esté justificado por razones imperiosas de interés general, como puede ser la protección del medio ambiente y el entorno 2

urbano, la ordenación del territorio, la conservación del patrimonio histórico artístico y la protección de los consumidores. Las Comunidades Autónomas deberán identificar en sus regulaciones de forma objetiva y previsible, las razones que motivan el establecimiento de estas autorizaciones. En ningún caso podrán fijarse criterios económicos para el otorgamiento de la autorización. Además esta norma suprime la obligación de inscripción en el Registro de Ventas a Distancia y en el Registro de Franquiciadores, sustituyéndola por una obligación de comunicación a posteriori de empezar la actividad. También se suprime el Registro Especial de Entidades y Centrales de Distribución de Productos Alimenticios Perecederos. Se endurecen las sanciones que pueden llegar a los 900.000 y se prevé además que se puedan graduar en función de la solvencia económica de la empresa sancionada. Además, en lo que se refiere a responsabilidad por incumplimiento de la normativa se establece que si se incumple el Derecho Comunitario Europeo y España es sancionada, se repercutirá la parte que le fuera imputable a la Administración que haya incumplido esta regulación, ya que hay que tener en cuenta que las competencias en materia de ejecución de esta normativa la tendrán las Comunidades Autónomas. Además se prevé que la Administración del Estado pueda compensar esta deuda contraída por la Administración que fuera responsable con las cantidades que la Hacienda Estatal deba transferir a esta Administración. Sentencia sobre las redes Peer to Peer (P2P) El Tribunal de lo Mercantil de Barcelona ha dictado una sentencia que rechaza las pretensiones de la Sociedad General de Autores (SGAE) que demandó al titular de un sitio web que enlazaba a contenidos de redes P2P que estaban dentro del repertorio de obras cuya gestión los autores habían encomendado a la SGAE. La SGAE consideraba que el demandado vulneraba algunos derechos contemplados en la Ley de Propiedad Intelectual: el derecho de reproducción y el de comunicación pública. El Tribunal considera que el demandado no ha vulnerado estos derechos puesto que no alojaba los archivos sino que simplemente facilitaba el acceso a los mismos elaborando como una especie de índice para que los usuarios localizaran más fácilmente los contenidos en la red P2P. Además el demandado no obtenía ningún beneficio económico de esta práctica. Proposición no de ley sobre la difusión de los estándares internacionales de protección de datos 3

Ya comentamos en anteriores boletines la aprobación en la 31ª Conferencia Internacional de Autoridades de Protección de Datos, que tuvo lugar en Madrid, de un documento que incluía una propuesta de estándares internacionales de protección de datos. En este documento se pretendía incluir un mínimo armonizador en esta materia que tuviese un alcance global, una primera piedra en la necesidad de aunar esfuerzos por conseguir unos mínimos que cumplan en todo el mundo. El Grupo Socialista presentó el 4 de marzo una proposición no de ley con el fin de instar al Gobierno a apoyar institucionalmente las actividades de difusión y promoción de estos estándares, así como a promoverlos en el seno de la Unión Europea, en la Comunidad Iberoamericana y en las organizaciones internacionales relevantes. Aprobación de la Ley General de la Comunicación Audiovisual El 31 de marzo se aprobaba la Ley 7/2010 General de la Comunicación Audiovisual. Esta ley viene a modificar toda la regulación anterior del sector, derogando una gran cantidad de normas donde se encontraba regulada esta materia. La necesidad de la norma era evidente ante los avances tecnológicos y la importancia cada vez mayor de los contenidos audiovisuales y, por ende, de la industria audiovisual. Hemos pasado de una televisión y radios analógicos condicionados por la escasez del espectro radioeléctrico al aumento de las señales y de su calidad gracias a la tecnología digital. La ley se presenta como garante de los derechos de los ciudadanos, haciendo especial énfasis en el derecho a la diversidad cultural y lingüística y en la protección de menores. En relación a la protección de los menores se prohíbe la emisión en abierto de programas que incluyan escenas de pornografía o violencia gratuita. Además los contenidos que puedan ser perjudiciales para el desarrollo físico, mental o moral de los menores sólo podrán emitirse entre las 22 y las 6 horas, debiendo ser precedidos por un aviso acústico y visual. Se deberá realizar una calificación por edades de todos los productos audiovisuales y una codificación digital que permita el ejercicio del control parental. Se regula también la publicidad, no pudiendo emitirse en televisión más de 12 minutos de publicidad cada hora. Además se crea el Consejo Estatal de Medios Audiovisuales que será el órgano regulador y supervisor del sector. EUROPEO e INTERNACIONAL Directivos de GOOGLE juzgados por un tribunal penal italiano Tres altos directivos de GOOGLE se vieron inmersos en un procedimiento penal como consecuencia de un video que se 4

colgó en la web del buscador en la que un menor discapacitado era maltratado por sus compañeros de clase. El vídeo permaneció dos meses colgados, apareciendo además en el apartado de Videos más divertidos y lo pudieron ver hasta 5.500 veces. Finalmente se retiró fruto de una campaña pública en contra. El Juez de Milán consideró que GOOGLE no actuó con la debida celeridad y que se infringió el derecho a la privacidad del menor. En Italia es posible considerar a ejecutivos responsables. Se les condenó a una pena de 6 meses suspendida por falta de antecedentes. AMAZON borra contenidos de los lectores digitales Uno de los dispositivos más conocidos para leer libros digitales (e-books) es el kindle. Este dispositivo lo vende AMAZON en su conocida tienda virtual. En el mes de julio esta compañía accedía a los dispositivos de sus clientes y les borraba dos clásicos de Orwell: Rebelión en la granja y 1984. Sin duda, es irónico que precisamente la obra del Gran Hermano haya sido uno de los libros borrados. Esto se produjo al darse cuenta la compañía que el proveedor de los libros no tenía los derechos sobre estas obras y, por tanto, no las podía vender. Varios afectados decidieron demandar a AMAZON por entrar en sus dispositivos y borrar sin su consentimiento estos libros. Además se recalcó que estos dispositivos permiten incorporar anotaciones y comentarios al libro (como cuando anotamos algo en el margen de un libro) y al borrar el libro, algunos de estos comentarios quedan sin sentido. De hecho, uno de los demandantes había trabajado en el e-book ya que era el objeto de su tesis y contaba con numerosos comentarios que eran la base de su trabajo. Por otro lado se indicó que AMAZON se había beneficiado económicamente de su conducta ya que posteriormente volvió a poner a la venta estos libros a un precio superior. La demanda además se hizo de forma colectiva con el fin de que pudieran beneficiarse todos los afectados de esta acción de AMAZON. Como muchos de estos casos, esta demanda no llegó al final del proceso judicial ya que AMAZON llegó a un acuerdo con los demandantes y les pagó 150.000$. Además pidió perdón en su sitio web a todos los afectados y les ofreció a todos la devolución de los libros digitales o un cheque regalo de 30$ para poder comprar en la tienda. Lo negativo es que AMAZON no ha renunciado a borrar en un futuro otras obras, eso sí con el consentimiento previo esta vez de los lectores clientes. Esto se debe a que si se comprobara que AMAZON vende una obra sin contar con los derechos del autor, esto le podría suponer una indemnización multimillonaria. 5

Aprobación de cláusulas tipo para la transferencia de datos personales a los encargados del tratamiento extranjeros El 5 de febrero se aprobó una Decisión de la Comisión Europea que aprobaba este texto incluyendo las cláusulas tipo que pueden utilizarse para transferir datos personales a encargados de tratamiento establecidos en terceros países que no gocen del nivel adecuado de protección de los datos de carácter personal. Debemos recordar que para poder hacer este tipo de transferencias una de las opciones es suscribir entre la empresa que quiere realizar la transferencia (el exportador) y la empresa que va a recibir los datos (el importador) un contrato que incluya alguno de los juegos de cláusulas contractuales que ya ha aprobado la Comisión, a los que se une el aprobado ahora. TEMA DE ANÁLISIS: El CONCEPTO de RESPONSABLE de TRATAMIENTO El Grupo del Artículo 29, en su continua labor de interpretación de lo establecido en la Directiva 95/46/CE emitió el 16 de febrero la Opinión 1/2010 relativa a los conceptos de Responsable de Tratamiento y Encargado de Tratamiento. Debemos recordar que este grupo aglutina a los directores de las diferentes agencias de protección de datos europeas y su principal objetivo es proporcionar criterios para interpretar lo establecido en la Directiva. El concepto de Responsable de Tratamiento es fundamental para la regulación del derecho a la protección de datos. Su origen se remonta a la Convención 108 del Consejo de Europa de 1981, instrumento que fundamentó toda la regulación posterior de este derecho de nueva generación. Va a ser determinante para repartir las responsabilidades en el cumplimiento de las obligaciones de la Directiva y para asegurar la protección de los afectados, ya que si no se le pudiera asignar claramente el cumplimiento de las obligaciones a un determinado sujeto, no podría protegerse este derecho, ni perseguirse su incumplimiento. Además el concepto, tal como señala la opinión, es criterio esencial para determinar la legislación nacional aplicable al tratamiento de datos, ya que normalmente será la ley del país donde radique el Responsable o éste tenga un establecimiento permanente. Es esencial, pues, asegurar una clara definición de la responsabilidad y actualmente son muchos y diversos los factores que ayudan a aumentar la dificultad en delimitar quien se puede considerar Responsable del Tratamiento como el aumento de las subcontrataciones que diluye la responsabilidad o el incremento de la deslocalización de las bases de datos gracias al fenómeno de la globalización que permite que puedan ubicarse en cualquier parte del mundo y el 6

desarrollo tecnológico que permite soluciones como las de informática distribuida (como el cloud computing). En la opinión se analiza la siguiente definición que proporciona la Directiva 95/46/CE del Responsable del Tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales. Esta definición se analiza en la Opinión diferenciando los siguientes elementos: Primer elemento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo Segundo elemento: que solo o conjuntamente con otros Tercer elemento: determine los fines y los medios del tratamiento de datos personales La palabra determine es la que proporciona la característica esencial del Responsable que es la de decidir, determinar. El análisis de si un sujeto determinado reúne esta capacidad de determinación se debe realizar estudiando la realidad, los elementos de hecho y no es necesario que sea la legislación la que lo califique como Responsable (hecho que requería la Convención 108). De esta forma, se asegura, según el Grupo, el cumplimiento de las obligaciones de protección de datos, ya que incluso si el Responsable estuviera realizando un tratamiento de forma ilegítima, se le va a considerar responsable. Esto también muestra otra característica del concepto que es el de autonomía de forma que aunque las leyes nacionales ayuden a calificar a un sujeto de Responsable, sólo deben aplicarse los criterios de la Directiva, puesto que se trata de un concepto comunitario y específico de la legislación de protección de datos. Sin embargo, el Grupo también indica que pese a que nos debamos atener a la realidad fáctica para calificar si un Responsable tiene esta capacidad de determinar, es decir, el control sobre el tratamiento de datos, también destaca la necesidad de clarificar las diversas situaciones ante las que nos podemos hallar, de forma que sea fácil identificar al Responsable. Por ello realiza una clasificación de las situaciones que nos podemos encontrar, dependiendo del origen de la capacidad de control del Responsable. Si no podemos encajar al sujeto en ninguna de estas clases, entonces, según la Opinión, no podríamos calificarlo de Responsable: El control proviene de una competencia legal explícita. En este caso la Ley explícitamente señala quien es el Responsable o le asigna una tarea que claramente implica que va a ser Responsable del tratamiento de datos necesario para llevarla a cabo. 7

El control proviene de una competencia legal implícita. Si bien no indica la Ley claramente el Responsable, es la legislación y la práctica común la que da esa capacidad al Responsable, p.ej. la calificación de Responsable del empleador en relación al tratamiento de datos de sus empleados para cumplir con sus obligaciones legales en materia laboral. El control proviene de la realidad fáctica. La capacidad del Responsable vendrá determinada esta vez por la situación real. En este caso se suele analizar la relación contractual con los otros sujetos, con el fin de determinar quien actúa como Responsable. No obstante, este análisis no siempre se ajusta a la realidad, ya que a veces puede calificarse a un individuo como Responsable y en la realidad no serlo. Por ello, en ocasiones deberá también atenderse a otros criterios o circunstancias como pueden ser el grado de control real, la imagen que se da a los sujetos afectados por el tratamiento y la expectación razonable que se genera en los sujetos en base a su visibilidad. En cuanto al tercer elemento finalidades y medios del tratamiento, el Grupo entiende que debe acudirse a la definición original que se incluía en la Convención 108 para entenderla correctamente. En la Convención se aludía a tres elementos sobre los que iba a tener capacidad de control el Responsable: 1. Finalidad de los ficheros automatizados de datos 2. Categorías de datos personales 3. Operaciones aplicadas a estos datos Además la Comisión, durante la preparación de la Directiva, introdujo un cuarto elemento: la competencia para decidir qué terceros tienen derecho a acceder a los datos personales. Después el Consejo redujo estos cuatro elementos a dos: las finalidades y los medios del tratamiento. Sin embargo, el Grupo considera que debe entenderse que se incluye en estos dos elementos los cuatro originales. Por lo tanto, la palabra medios no sólo se referirá a la tecnología aplicada al tratamiento, sino también a cómo se va a hacer ese tratamiento, refiriéndose a cuestiones como qué datos se van a procesar, qué terceros van a tener acceso a los mismos, qué datos se van a poder borrar, etc. Por lo tanto, esta palabra medios incluirá aspectos técnicos y organizativos cuya decisión podrá delegarse en el Encargado de Tratamiento, pero también aspectos esenciales que estarán ligados a la determinación del Responsable como son los mencionados antes. El primer elemento alude a la persona física, jurídica o cualquier otro organismo. La regla general va a ser considerar siempre como Responsable a la empresa, no a la persona física actuando dentro de la empresa y llevando a 8

cabo el tratamiento. No obstante, si esta persona utilizara los datos personales para cumplir sus propios objetivos, fuera del control de la empresa, se le podrá considerar también responsable. En cuanto al segundo elemento sólo o conjuntamente con otros, este aspecto no se preveía en la Convención 108. Cuando se introdujo en la Directiva se estaba pensando en la posibilidad de que pudiera haber varios Responsables que tuvieran el mismo nivel de control sobre el tratamiento. Sin embargo, en la actualidad se ha asistido a la amplia gama de posibilidades de control que puede variar en cuanto al grado y a la etapa del tratamiento. Para poder localizar las responsabilidades de los diversos intervinientes en el tratamiento estaremos a las reglas que el Grupo brindaba para analizar a un solo responsable examinando los contratos entre ellos pero también la realidad fáctica. Podemos concluir que la Opinión del Grupo del Artículo 29 recoge las reflexiones de las autoridades de protección de datos europeas sobre esta figura del Responsable del tratamiento, reflexiones que también los que analizamos esta legislación hemos tenido que hacer para poder desentrañar cuando estamos ante un responsable y cuando no, ya que en algunas situaciones es realmente complejo. Los criterios que brinda el Grupo son los aplicados habitualmente, destacando el de la realidad fáctica que debe primar sobre lo estipulado en un contrato que, en muchas ocasiones lo que hace es responder a los intereses de las partes, sin tener en cuenta realmente el cumplimiento de la regulación de protección de datos y la protección de los derechos de los afectados por el tratamiento. De todas formas, esta realidad fáctica cada vez es más compleja y por eso es positivo todo esfuerzo por parte de las agencias para aclarar los conceptos esenciales de esta legislación. De hecho, este es un objetivo que tiene el Grupo del Artículo 29 en su programa de trabajo. AGENCIAS Nueva herramienta de la AEPD para la autoevaluación del cumplimiento de la normativa de protección de datos La AEPD ha puesto a disposición en su sitio web (www.apd.es) la nueva herramienta EVALÚA LOPD. Se trata de un Test de Autoevaluación que debe responder on line el usuario que esté interesado en conocer el nivel de cumplimiento que tiene su empresa en relación a esta normativa. Se han publicado dos Test, uno que se refiere al cumplimiento de lo establecido por la Ley Orgánica 15/1999 de protección de datos (LOPD), y otro relativo al cumplimiento de las medidas de seguridad previstas en el 9

Real Decreto 1720/2007. El usuario debe responder un cuestionario que versa sobre las diferentes áreas de cumplimiento de ambas normas y al final puede obtener un Informe con los resultados. Si bien es una interesante iniciativa, la verdad es que hacer fácil el cumplimiento de la normativa de protección de datos, tal como está la regulación a día de hoy es misión imposible. Cualquier Responsable de Fichero que quiera verificar su estado de cumplimiento y decida utilizar esta herramienta va a encontrarse con los mismos problemas a los que se enfrenta cuando lee la normativa que debe cumplir. Es la aplicación a su operativa diaria lo que dificulta el cumplimiento de esta norma generalista y, por lo tanto, cualquier herramienta que no considere el caso concreto es muy difícil que ayude al empresario. Evaluación por la AEPD del cumplimiento de la LOPD por los Hospitales La AEPD ha requerido a 654 centros públicos y privados del Catálogo Nacional de Hospitales con el fin de que le remitan un informe sobre el nivel de cumplimiento de la legislación de protección de datos. Los centros deben responder antes del 31 de mayo. En su comunicado, la AEPD destaca el gran número de expedientes abiertos contra centros hospitalarios. Los más habituales son ocasionados por falta de medidas de seguridad y vulneración del deber de secreto, como la aparición de documentación clínica en la vía pública o la difusión de información sanitaria debida a la mala utilización del programa peer to peer e-mule. Facebook valora implantar sistemas de verificación de edad La AEPD comunicaba el 16 de marzo que había mantenido un encuentro con el director de políticas para Europa de Facebook. Este responsable indicó a la AEPD que estaban analizando las distintas opciones para implantar un sistema de verificación de edad de los menores y comprobación del consentimiento paterno. También desde la AEPD se ha instado a la plataforma para que se reduzca la información de los perfiles accesibles mediante los buscadores de Internet, de forma que por ejemplo sólo se pueda acceder a la información del propietario del perfil y no a su lista de amigos. Otra cuestión que se planteó fue cómo se atendían las reclamaciones y los derechos por parte de usuarios y no usuarios de Facebook ante lo cual Facebook está elaborando un formulario que puedan utilizar tanto usuarios como no usuarios. Por último ante las noticias al respecto de la implantación por Facebook de una aplicación que ofrecerá a los usuarios la posibilidad de mostrar su ubicación geográfica, el representante de Facebook informó que ya 10

existían en la actualidad aplicaciones que ofrecen esta posibilidad. Conocer las AMENAZAS a nuestra intimidad: Nuestra INFORMACIÓN en la NUBE Ya hace tiempo que se está hablando del llamado Cloud Computing o informática en la nube. Esta denominación proviene de la imagen de nube que se da a Internet en todas las representaciones gráficas que utilizan los informáticos para describir los sistemas de información. Cada vez existen más servicios que se proporcionan gracias a Internet. Los ejemplos son incontables: las redes sociales y todo tipo de servicios que se brinden a través de páginas web, los servicios de alojamiento de sitios web, los servicios de correo electrónico Todos estos servicios se puede decir que están en la nube. Si bien siempre han existido este tipo de servicios en la nube, actualmente con el aumento de la capacidad de conexión a Internet parece que se ha facilitado la utilización de los mismos. Además el revulsivo de la crisis ha ayudado a incentivar este tipo de negocio que permite a las empresas por un coste reducido acceder a través de Internet a todos los servicios informáticos, incluyendo el software, las bases de datos, todo mantenido por los proveedores en sus servidores. Si bien la posibilidad de contratar la totalidad del sistema informático a un proveedor externo existe, también es cierto que la industria de la nube se enfrenta a un importante caballo de batalla: la seguridad. Lo cierto es que todos los estudios realizados hasta ahora (como el informe llevado a cabo en Noviembre de 2009 por ENISA) acentúan este factor como el determinante de que no se acuda a la nube. Las empresas y las Administraciones Públicas tienen miedo de traspasar el control de toda su información a un tercero. El peligro de que una empresa pueda acceder a datos de otra empresa o la atracción que una concentración tan importante de información de compañías en una determinada infraestructura puede suponer para los piratas informáticos son algunos de los ejemplos que generan esta desconfianza. Además de la seguridad, otro factor destacado que perjudica el despliegue del Cloud Computing es el tema legal, ya que los servicios en la nube pueden implicar problemas a nivel de legislación aplicable y jurisdicción a la que acudir en caso de conflicto. El tema no es baladí, especialmente cuando hablamos del cumplimiento, por ejemplo, de la normativa de protección de datos que puede variar enormemente si la información se aloja en Estados Unidos o en Europa. Todos estos aspectos se comentaron en un evento celebrado en Barcelona en marzo que giraba alrededor de este tema que coorganizaban ENISA, la entidad Cloud Security Alliance e ISACA y que congregó a expertos en seguridad, representantes de Administraciones y a proveedores de este tipo de servicios. 11

Más información: Puede dirigirse a la dirección neolegis@neolegis.com o llamando al 93 240 53 25. Aviso legal: Mediante el presente documento NEOLEGIS, abogados y consultores, S.L.P. no pretende en ningún momento realizar un análisis exhaustivo ni elaborar ningún informe personalizado remitiéndonos a las publicaciones oficiales, con el fin de tener una información veraz. El único ánimo de este boletín es informar de manera general. Las fuentes de información son los sitios web oficiales (Web del Ministerio de Industria, del BOE, de la Unión Europea, de la Agencia Española de Protección de Datos y de las agencias autonómicas de protección de datos) y medios de comunicación, siendo los contenidos elaborados por los profesionales de NEOLEGIS. Por lo tanto, este documento y todos aquellos elementos que lo integran se hallan protegidos por la legislación de propiedad intelectual. Barcelona 2010 Neolegis Abogados y Consultores, S.L.P. Depósito Legal: B.6538-2007 12

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback