Tal y como recoge el art.40.2 del RGPD podrán ser elaborados por las asociaciones y otros organismos representativos de categorías de responsables o encargados, así como, empresas, grupos de empresas y Organismos y Administraciones públicas.

Los puntos que deberán contener estos códigos de conducta se recogen ampliamente en el art.40.2 del RGPD, entre otros, tendrán que indicar cuáles son los procedimientos extrajudiciales y de resolución de conflictos para resolver las controversias entre los responsables del tratamiento y los interesados.

Las ventajas de adherirse o elaborar estos códigos de conducta por parte de los responsables son considerables, ya que permite, por ejemplo, demostrar la aplicación de las medidas de seguridad, sirven de garantías suficientes para realizar transferencias internacionales de datos y, además, se tendrá en cuenta para minimizar y determinar las sanciones.

IMPORTANTE

Los códigos de conducta aprobados con la antigua LOPD15/1999, tienen el plazo de un año desde la entrada en vigor de la LOPDPGDD para adaptar su contenido al RGPD.

La entrada Códigos de conducta en el RGPD se publicó primero en Adaptación RGPD.

El reclamante manifiesta que en la fecha de 04/06/2015, solicitó el derecho de cancelación de sus datos a VODAFONE, recibiendo una carta por parte de la entidad en la que se le comunicaba que se había procedido a la cancelación, pese a ese escrito, el reclamante siguió recibiendo SMS de la entidad, más de 200, inclusive durante todo el año 2018.

La AEPD sanciona a VODAFONE por vulnerar el principio de exactitud de los datos, pues no solamente no se canceló, sino que siguió utilizando dicho número para la realización de pruebas de distinta naturaleza, cómo verificar la calidad del proceso, dentro de los servicios de la Tienda Online de VODAFONE.

Se presenta un escrito de reclamación ante la AEPD, el día 23/04/2018, cuando aún no había entrado en aplicación el RGPD, pero como la infracción del uso indebido de los datos por parte de VODAFONE continuó en el tiempo, el reclamante hizo llegar otra reclamación el 25/09/2018 por lo que ya se aplica la norma europea. La cuantía económica alcanzaba los 45.000 euros. Descontando las reducciones contempladas en el RGPD, entre ellas la de pronto pago, finalmente la multa económica ascendió a 27.000 euros.

IMPORTANTE

El principio de exactitud de datos se recoge en el art.5.1.d del RGPD, los datos han de ser exactos, actualizados y se suprimirán o rectificarán en caso de ser inexactos.

La entrada Vodafone España, S.A.U., obligada a pagar una cuantiosa multa económica por vulnerar el principio de exactitud se publicó primero en Adaptación RGPD.

• El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
• Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
• Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

La nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD).
En su artículo 34 indica los sujetos obligados a designar un DPO (además de todos los que ya estaban obligados por el RGPD):
• Los colegios profesionales y sus consejos generales.
• Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
• Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
• Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
• Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito:
a) Los bancos.
b) Las cajas de ahorros.
c) Las cooperativas de crédito.
d) El Instituto de Crédito Oficial.

• Los establecimientos financieros de crédito.
• Las entidades aseguradoras y reaseguradoras
• Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
• Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
• Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo
• los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo (LPBC-FT):
a) Las entidades de crédito.
b) Las entidades aseguradoras autorizadas para operar en el ramo de vida y los corredores de seguros cuando actúen en relación con seguros de vida u otros servicios relacionados con inversiones, con las excepciones que se establezcan reglamentariamente.
c) Las empresas de servicios de inversión.
d) Las sociedades gestoras de instituciones de inversión colectiva y las sociedades de inversión cuya gestión no esté encomendada a una sociedad gestora.
e) Las entidades gestoras de fondos de pensiones.
f) Las sociedades gestoras de entidades de capital-riesgo y las sociedades de capital-riesgo cuya gestión no esté encomendada a una sociedad gestora
g) Las sociedades de garantía recíproca.
h) Las entidades de pago y las entidades de dinero electrónico.
i) Las personas que ejerzan profesionalmente actividades de cambio de moneda.
j) Los servicios postales respecto de las actividades de giro o transferencia.
k) Las personas dedicadas profesionalmente a la intermediación en la concesión de préstamos o créditos, así como las personas que, sin haber obtenido autorización como establecimientos financieros de crédito, desarrollen profesionalmente alguna de las actividades a que se refiere la Disposición adicional primera de la Ley 3/1994, de 14 de abril, por la que se adapta la legislación española en materia de Entidades de Crédito a la Segunda Directiva de Coordinación Bancaria y se introducen otras modificaciones relativas al Sistema Financiero (nota: disposición derogada por la disposición derogatoria
d) de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial).
l) Los promotores inmobiliarios y quienes ejerzan profesionalmente actividades de agencia, comisión o intermediación en la compraventa de bienes inmuebles.
m) Los auditores de cuentas, contables externos o asesores fiscales.
n) Los notarios y los registradores de la propiedad, mercantiles y de bienes inmuebles.
o) Los abogados, procuradores u otros profesionales independientes cuando participen en la concepción, realización o asesoramiento de operaciones por cuenta de clientes relativas a la compraventa de bienes inmuebles o entidades comerciales, la gestión de fondos, valores u otros activos, la apertura o gestión de cuentas corrientes, cuentas de ahorros o cuentas de valores, la organización de las aportaciones necesarias para la creación, el funcionamiento o la gestión de empresas o la creación, el funcionamiento o la gestión de fideicomisos («trusts»), sociedades o estructuras análogas, o cuando actúen por cuenta de clientes en cualquier operación financiera o inmobiliaria.
p) Las personas que con carácter profesional y con arreglo a la normativa específica que en cada caso sea aplicable presten los siguientes servicios por cuenta de terceros: constituir sociedades u otras personas jurídicas; ejercer funciones de dirección o de secretarios no consejeros de consejo de administración o de asesoría externa de una sociedad, socio de una asociación o funciones similares en relación con otras personas jurídicas o disponer que otra persona ejerza dichas funciones; facilitar un domicilio social o una dirección comercial, postal, administrativa y otros servicios afines a una sociedad, una asociación o cualquier otro instrumento o persona jurídicos; ejercer funciones de fiduciario en un fideicomiso (trust) o instrumento jurídico similar o disponer que otra persona ejerza dichas funciones; o ejercer funciones de accionista por cuenta de otra persona, exceptuando las sociedades que coticen en un mercado regulado de la Unión Europea y que estén sujetas a requisitos de información acordes con el Derecho de la Unión o a normas internacionales equivalentes que garanticen la adecuada transparencia de la información sobre la propiedad, o disponer que otra persona ejerza dichas funciones.
q) Los casinos de juego.
r) Las personas que comercien profesionalmente con joyas, piedras o metales preciosos.
s) Las personas que comercien profesionalmente con objetos de arte o antigüedades.
t) Las personas que ejerzan profesionalmente las actividades a que se refiere elartículo 1 de la Ley 43/2007, de 13 de diciembre, de protección de los consumidores en la contratación de bienes con oferta de restitución del precio:

• Comercializan bienes mediante contratos de mandato de compra y venta de bienes y otros contratos que permitan realizar esta actividad, percibiendo el precio de adquisición de los mismos o una comisión y comprometiéndose a enajenarlos por cuenta del consumidor entregando a éste, en varios o en un único pago, el importe de su venta o una cantidad para el supuesto de que no halle un tercero adquirente de los bienes en la fecha pactada.
• Comercializan bienes mediante los contratos indicados en el párrafo anterior con ofrecimiento de revalorización, o en su caso, con garantía de restitución del precio de adquisición o cualquier otro importe. Los bienes a que se refiere son sellos, obras de arte, antigüedades, joyas,árboles, bosques naturales, animales en todo caso y asimismo aquellos otros bienes susceptibles de ser objeto de la actividad descrita.
u) Las personas que ejerzan actividades de depósito, custodia o transporte profesional de fondos o medios de pago.
v) Las personas responsables de la gestión, explotación y comercialización de loterías u otros juegos de azar presenciales o por medios electrónicos, informáticos, telemáticos e interactivos. En el caso de loterías, apuestas mutuas deportivo-benéficas, concursos, bingos y máquinas recreativas tipo “B” únicamente respecto de las operaciones de pago de premios.
w) Las personas físicas que realicen movimientos de medios de pago, en los términos establecidos en el artículo 34 de la LPBC-FT.
x) Las personas que comercien profesionalmente con bienes, en los términos establecidos en el artículo 38 de la LPBC-FT.
y) Las fundaciones y asociaciones, en los términos establecidos en el artículo 39 de la LPBC-FT.
z) Los gestores de sistemas de pago y de compensación y liquidación de valores y productos financieros derivados, así como los gestores de tarjetas de crédito o debito emitidas por otras entidades, en los términos establecidos en el artículo 40 de la LPBC-FT.

• Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
• Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes (excepto los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual).
• Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
• Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
• Las empresas de seguridad privada.
• Las federaciones deportivas cuando traten datos de menores de edad.

La entrada Sujetos obligados a designar un DPO en la nueva LOPDPGDD se publicó primero en Adaptación RGPD.

Cuando se realice un tratamiento por cuenta de un responsable, éste se tiene que regular en un documento jurídico que contenga al menos lo contemplado en el art.28.3 del RGPD, por lo tanto, todos los contratos de encargado de tratamiento celebrados después del 25 de mayo de 2018 han seguido lo contenido en este artículo del Reglamento.

¿Qué ocurre con aquellos contratos celebrados con anterioridad al 25 de mayo de 2018 y que se ejecutaron según lo que disponía la derogada LOPD 15/1999? la repuesta a esta pregunta la encontramos en la disposición transitoria quinta de la LOPDGDD 3/2018 “Contratos de encargado del tratamiento”, existiendo las siguientes opciones:

• Los contratos con fecha determinada y prorrogables, podrán seguir siendo vigentes hasta la fecha de vencimiento señalada, es decir, que llegado el momento de la prórroga tendrá que celebrarse uno nuevo.
• Los contratos de carácter indefinidos permanecerán vigentes hasta el 25 de mayo de 2022.

IMPORTANTE

Durante dichos plazos de vigencia cualquiera de las partes podrá exigir a la otra la modificación del contrato, para que resulte conforme a lo dispuesto en el art.28.3 del Reglamento (UE) 2016/679.

La entrada Vigencia de los contratos de encargado del tratamiento celebrados antes del 25/05/2018 se publicó primero en Adaptación RGPD.

Otro de los aspectos novedosos incluidos en la nueva normativa es que se reconoce específicamente el derecho de acceso y, en su caso, de rectificación o supresión por parte de quienes tuvieran vinculación con personas fallecidas por razones familiares o de hecho y a sus herederos. La medida limita el ejercicio de estos derechos cuando el fallecido lo hubiera prohibido.

En cuanto a los menores, la Ley fija en 14 años la edad a partir de la cual se puede prestar consentimiento de manera autónoma. También se regula expresamente el derecho a solicitar la supresión de los datos facilitados a redes sociales u otros servicios de la sociedad de la información por el propio menor o por terceros durante su minoría de edad.

La Ley refuerza, como propuso la Agencia, las obligaciones del sistema educativo para garantizar la formación del alumnado en el uso seguro y adecuado de internet, incluyéndola de forma específica en los currículums académicos y exigiendo que el profesorado reciba una formación adecuada en esta materia. A tal efecto, el Gobierno deberá remitir en el plazo de un año desde la entrada en vigor de la Ley un proyecto de ley dirigido específicamente a garantizar estos derechos y las administraciones educativas tendrán el mismo plazo para la inclusión de dicha formación en los currículums.

El texto regula, asimismo, el derecho al olvido en redes sociales y servicios de la sociedad de la información equivalentes. Se exceptúa la supresión cuando los datos hubieran sido facilitados por terceros en el ejercicio de actividades personales o domésticas.

Puede ver más información en el siguiente enlace:Ley Orgánica 3/2018 de 5 de diciembre de Protección de datos Personales y garantía de los derechos digitales

Fuente: AEPD

La entrada Aprobada la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) se publicó primero en Adaptación RGPD.

• Lo primero que tenemos que hacer es ser capaces de probar que se trata de una deuda cierta, vencida, exigible y que su cuantía no la hayamos reclamado administrativa o judicialmente o por  cualquier otro medio alternativo de resolución o bien que no hayan transcurrido seis años desde su obligación.
• En segundo lugar  tenemos que haber informado al afectado de esta posible inclusión en los sistemas de información crediticia, bien en el momento de la celebración del contrato o cuando se vaya a requerir el pago. En concreto le tendremos que indicar el nombre de los sistemas en los que puede ser incluido. Por su parte, el responsable de los sistemas debe notificar al afectado su inclusión en un plazo máximo de 30 días a la notificación de la deuda, durante este periodo los datos permanecerán bloqueados.

Mantendremos los datos durante cinco años, desde la fecha de vencimiento de la deuda, siempre y cuando no haya sido satisfecha antes.

IMPORTANTE

En el momento en que se satisfaga la deuda, el responsable tendrá que comunicarlo al sistema de información crediticia en el plazo de una semana y proceder éste a su supresión.

La entrada Pasos a seguir para incluir a una persona física en un fichero de Solvencia Patrimonial se publicó primero en Adaptación RGPD.

En la fecha 20/09/2017 la denunciante presenta un escrito contra la empresa, por la llamada telefónica de carácter publicitario  que recibió de la misma, preguntando por su nombre y dos apellidos, sin haber mantenido relación comercial previa con la entidad. La denunciante aporta además  la inscripción al Servicio de Lista Robinson AIDIGITAL de fecha 17/03/.

La AGPD, solicitan información a la entidad, la cual les comunica que adquirieron una guía telefónica a KAPITOL S.A que datos obtenidos de fuentes de acceso público.

La empresa denunciada confirma que no realizó un filtrado de los números de personas incluidas en la Lista Robinson de ADigital hasta mediados de noviembre de 2017.

La Agencia Española procede a imponer una multa, ya que se han infringido los art. 6 de la LOPD  así como no tener en cuenta la oposición de la demandante de recibir comunicaciones comerciarles tal y como indica  el art. 48 .2 de la Ley  9/2014, de 9 de mayo , General de Telecomunicaciones .

Siendo una sanción reducida de 3.000 euros  ya que se aplicaron las reducciones previstas en el Acuerdo de Inicio.

IMPORTANTE

Cuando el interesado solicita cualquier derecho de los contenidos en la LOPD o RGPD, hay que ejecutarlo sin dilación indebida, con un plazo máximo de 1 mes.

La entrada Sanción a GRUPO MORATA Y COMES (RENOVEDUCH) se publicó primero en Adaptación RGPD.

Para establecer la cuantía de las sanciones se atenderá al caso particular y se tendrá debidamente en cuenta:

1. La naturaleza, gravedad y duración de la infracción, estudiando la naturaleza, alcance o propósito de la misma, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido.
2. La intencionalidad o negligencia en la infracción.
3. Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados.
4. El grado de responsabilidad del encargado del tratamiento de los datos, habida cuenta de las medidas técnicas u organizativas que hayan aplicado para salvaguardar la información.
5. Toda infracción anterior cometida por el responsable o el encargado del tratamiento.
6. El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción.
7. Las categorías de los datos de carácter personal afectados por la infracción.
8. La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida.
9. Que el responsable o el encargado de que se trate, en relación con el mismo asunto, ya haya sido sancionado, entre otras, con una advertencia o apercibimiento al cumplimiento de dichas medidas.
10. La adhesión a códigos de conducta o a mecanismos de certificación aprobados con arreglo al articulado del propio RGPD.
11. Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

La entrada Sanciones del RGPD se publicó primero en Adaptación RGPD.

Tal y como establece la ley 41/2002 de 14 de noviembre reguladora de la Autonomía del Paciente y Derechos y Obligaciones en materia de información y documentación clínica, en el art.48, regula el derecho de acceso del paciente a la historia clínica y a obtener copia de los datos que figuran en ella.

Serán los centros los que regulen ese procedimiento teniendo en cuenta, que el derecho de acceso a datos de carácter personal, es uno de los derechos de las personas consagradas en el Título III de la LOPD 15/1999

Así en el art. 15 de la LOPD 15/1999 se señala que el interesado tendrá derecho a:

“Solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento “(mediante visualización, copia…) y lo que ocupa en esta consulta, es que en virtud del art.17 no se exigirá contraprestación alguna por el ejercicio de los derechos contemplados en la ley.

El reglamento de desarrollo 1720/ 2007 en el art.24, establece además que deberá concederse un medio sencillo y gratuito para el ejercicio de los derechos, no pudiendo establecer como tales medios el envío de cartas certificadas o servicios de telecomunicaciones que impliquen tarificación adicional o suponga un coste excesivo.

IMPORTANTE

No obstante, este derecho solo podrá ser ejercido por el interesado a intervalos no inferiores a 12 meses, salvo que el interesado acredite un interés legítimo, en ese caso podrá ejercitarlo antes.

La entrada ¿Se puede establecer una contraprestación como tasa o precio público por la emisión de copias de la historia clínica? se publicó primero en Adaptación RGPD.

• Sólo podrán captar y reproducir las imágenes estrictamente necesarias para los fines propuestos.
• Sólo será posible el visionado de las imágenes por el director del centro o la persona responsable designada.
• Las imágenes podrán conservarse un plazo de diez días, tiempo suficiente para que el centro detecte la existencia de un perjuicio para el menor. Transcurrido el plazo, sólo podrían conservarse las imágenes que revelaran algún tipo de hecho trascendente en relación con el interés del menor.
• El centro debe cumplir con la normativa de protección de datos: permitir el ejercicio de los derechos ARCO, inscribir los ficheros en el Registro General de Protección de Datos y cumplir las medidas de seguridad correspondientes.
• Las imágenes sólo podrán ser recogidas para proteger el interés superior del menor, sin que puedan utilizarse para otros fines.

IMPORTANTE

Los datos personales recogidos deben ser adecuados, pertinentes y no excesivos para la finalidad para la que van a ser destinados.

La entrada ¿Pueden colocarse cámaras en zonas comunes de un centro escolar? se publicó primero en Adaptación RGPD.