Novedades de la LOPD de España.
El pasado 06 de Diciembre de 2018 ha sido publicada en el Boletin Oficial del Estado, la Ley Organica 03/18, de Proteccion de Datos y Garantia de los Derechos Digitales – LOPDGDD. Esta norma que venia siendo discutida hace un año, finalmente ha visto la luz con el fin de desarrollar el Reglamento Europeo de Proteccion de Datos, derogando la Ley Organica 15 de 1999. Su principal objetivo es adaptar a la legislacion española lo desarrollado por el Reglamento 679/16 RGPD. A continuacion reproducimos unos apuntes elaborados por Govertis para el Blog de la Agencia Española para la Calidad AEC. “Una de las novedades principales incorporada en la nueva norma ha sido la introducción de un nuevo Título, que se incluye en el nombre a la Ley, el de “Garantía de los derechos digitales”, no exento de controversia. Estos derechos podríamos destacar los siguientes: El derecho a la neutralidad de Internet, derecho de acceso universal a Internet, derecho a la seguridad digital, derechos relativos a los menores en el ámbito digital, ciertos derechos como la rectificación, olvido etc. en el entorno digital, la regulación de derechos digitales en el ámbito laboral (entre los que destaca el derecho a la desconexión) así como el mal denominado “testamento digital”. De otro lado, se introducen, respecto a la figura del Delegado de Protección de Datos (DPD), una lista de entidades que deberán designar obligatoriamente DPD: centros docentes que ofrezcan enseñanzas reguladas, en las universidades públicas y privadas, colegios profesionales, en las federaciones deportivas, cuando traten datos de menores de edad, o en los centros sanitarios, salvo en el caso de profesionales de la salud que ejerzan su actividad a título individual. El DPD cobra especial protagonismo en los procedimientos de investigación y sanción. Así, las reclamaciones que los interesados deseen interponer ante la Agencia Española de Protección de Datos, podrán primero presentarse al DPD. En el supuesto que esto no ocurra, la Agencia Española de Protección de Datos podrá remitir la reclamación al DPD para que en el plazo de un mes pueda resolver la reclamación, por ello la LOPDyGDD apostando por la mediación. De la misma manera, el hecho de designar un DPD cuando no fuera obligatorio, se incluye como un criterio para graduar las sanciones, además de otros como la afectación a los derechos de los menores o el sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos. También existen novedades relacionadas con el sector público. De un lado, se ha incorporado una disposición adicional relativa a las medidas de seguridad en el sector público, relativa al Esquema Nacional de Seguridad, mediante la cual el cumplimiento del ENS equivale a una gestión de la seguridad adecuada al riesgo, cumpliéndose con ello la obligación de implantar medidas de seguridad adecuadas, en cumplimiento del art 32 de RGPD. En lo que respecta al registro de actividades de tratamiento, se establece la obligación para las Administraciones Públicas de hacerlo público por medios electrónicos. En el caso del sector privado, uno de los puntos más novedosos, es la posibilidad de denunciar de forma anónima dentro de los sistemas internos de denuncias y que hasta ahora no había sido permitido por la AEPD. A partid de ahora, el denunciante que desee poner de manifiesto unos hechos concretos por considerarlos contrarios a la normativa aplicable, podrá hacerlo sin que la expresión de su identidad sea condición para el tratamiento de su denuncia. También se regulan otros tratamientos sectoriales como, entre otros, videovigilancia, sistemas de información crediticia, sistemas de exclusión publicitaria o monitorización de empleados. Por último, destacaremos que la información por medios electrónicos puede realizarse en doble capa como venía haciéndose hasta ahora, pero eso sí, se permite que sólo de informe en la información básica de la identidad del responsable del tratamiento, las finalidades del tratamiento y la manera de ejercitar los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento.”
Proteccion de Datos en Colombia, Perspectivas al 2019
El pasado Martes 27/11 hemos organizado en nuestra Oficina de Proyectos de Medellin, una charla con el objetivo de presentar importantes aspectos de la Proteccion de datos que tendran lugar en Colombia y el mundo desde una vision prospectiva. Nuestra Regional Partner, Claudia Elena Escobar, nos presentó los retos que se avecinan en materia regulatoria y la influencia del Reglamento Europeo de Proteccion de Datos – RGPD en Colombia y Latinoamerica. Gracias a todos los que nos acompañaron! Como siempre estaremos compartiendo mas eventos y oportunidades proximamente.
Reglamento Europeo de Protección de datos personales y su impacto en Colombia
Andres Felipe Contreras P. Con la reforma a la ley de protección de datos personales de la unión europea, la ya conocida Directiva 95/46/CE de la Unión Europea (UE), se crea un escenario en el que los Estados, las empresas y cualquier organización u entidad que trate datos personales, deben modelan sus prácticas de tratamiento de información, para obtener un blindaje técnico, jurídico y administrativo, frente a los diferentes incidentes que puedan llegar a afectar los intereses de los titulares o dueños de la información personal. La noticia sobre la entrada en vigencia de esta normativa no podría ser más pertinente. Con los escándalos mediáticos que propician cadenas de noticias sobre fugas de información y el mal manejo que se da a los datos personales por cuenta de los responsables de su uso o almacenamiento (caso de Facebook y Cambridge Analytica), se pone en entredicho la capacidad de disponibilidad de información que se le concede a empresas sin una determinada jurisdicción aplicable; redes globales e industrias que les son inherentes la demanda de datos personales por ser su mayor activo y capital productivo. Para las empresas que emplean bases de datos personales de clientes, usuarios, proveedores, trabajadores, etc., dicho régimen es sumamente importante de cara a sus obligaciones y efectos. La nueva reglamentación aumenta los derechos de los titulares de los datos personales, y por consiguiente, las obligaciones de las organizaciones que ofrezcan servicios a los ciudadanos de la UE, que reciban (por transmisión o transferencia) datos cuyo tratamiento se haya iniciado dentro de las fronteras de la UE o que en virtud de algún tratado internacional como los TLC, se les exija adoptar la reglamentación europea. Siendo que la información se desplaza a través de múltiples nodos, varios de ellos ubicados en la UE, es loable suponer que, para atender los mínimos requisitos que trae dicha normativa y continuar haciendo uso de dichos nodos, la nueva directiva sea tomada como un referente global para alinear las políticas y leyes internas de cada legislación a los estándares mundiales. Esto es apenas lógico si se piensa que, una de las principales prorrogativas que implementa tal disposición, es la de que no puede haber exportación de datos personales fuera de la UE, si no hay una garantía de que los estándares de seguridad se cumplen en estos terceros países: Article 44: Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation[1]. Conforme a ello, las leyes e incluso, el vínculo contractual en el que se estipule mediante la aplicación del reglamento europeo en materia de protección de datos, es válido y generara sus efectos respecto a las cargas imperativas del mismo, así como sobre las sanciones que originan su incumplimiento. Dentro de la gama de modificaciones que hace esta nueva directiva, una de las más importantes es el denominado Right to erasure, right to be forgotten o derecho al olvido (artículo 17), el cual se traduce en que las organizaciones ,solo podrán almacenar y procesar datos personales cuando un individuo lo consienta y no podrá retenerlos por más tiempo de lo necesario, lo que a su vez implica, disponer de medidas razonables, incluidas medidas técnicas, para que se eliminen de cualquier enlace, copia o reproducción, dichos datos personales. Se tiene como unas de las excepciones para este borrado inmediato y completo de la información, el ejercicio del derecho a la libertad de expresión e información, así como el ejercicio o defensa de reclamos legales. Igualmente se encuentran exigencias en cuanto a la portabilidad de la información de una empresa a otra (artículo 20), la creación automatizada de perfiles de los titulares (artículo 22) y la notificación obligatoria de las brechas de seguridad que se presenten (artículo 33). El incumplimiento de tales medidas, implica sanciones de hasta 20 millones de euros o el 4% de la facturación anual global de la empresa si llegara superar dicho monto, que, para el caso que nos ocupa, pueden imponerse a empresas colombianas que se hagan responsables de la información en la calidad de controlador o procesador de la información personal, en los términos del GDPR. El 25 de mayo de 2016 entró en vigor el GDPR y comenzará a aplicarse el 25 de mayo de 2018. Las empresas deben poder mostrar que para esta fecha, están listas para cumplir con el nuevo reglamento. [1] En español: Toda transferencia de datos personales que se tramiten o estén destinados a su tratamiento después de su transferencia a un tercer país o a una organización internacional tendrá lugar solo si, de conformidad con las demás disposiciones del presente Reglamento, se cumplen las condiciones establecidas en este capítulo. con el controlador y el procesador, incluidas las transferencias posteriores de datos personales desde el tercer país o una organización internacional a otro tercer país u otra organización internacional.
La transferencia internacional de datos en el Regimen de Proteccion de datos en Colombia
Hemos colaborado con la importante plataforma DataGuidance en el analisis de las transferencias de datos personales con ocasión de la expedicion de la Circular 05 de 2017, en la que la Superintedencia de Industria y Comercio estipula las condiciones para los flujos transfronterizos de datos personales y se establecen las previsiones sobre paises con nivel adecuado de protección de datos. Consulte el analisis en el siguiente link (Version en Ingles)