Lo más importante de esta figura es que las decisiones sobre el tratamiento de datos personales se determinan de forma transparente y de mutuo acuerdo. En particular, deberán definir los siguientes aspectos:

•  Ejercicio de los derechos del interesado
•  Deber de informar al interesado

La figura de la corresponsabilidad no tiene que estar presente en todo el tratamiento de datos personales, sino solamente en aquellas etapas del tratamiento en el que sea necesario determinar los fines y los medios conjuntamente.

Todos los aspectos relativos a protección de datos, tendrán que reflejarse en un acuerdo y este acuerdo deberá ponerse a disposición del interesado.

IMPORTANTE

Los interesados podrán ejercer los derechos ante cualquiera de los responsables que figuren en el acuerdo de corresponsabilidad.

La entrada Roles en la protección de datos: el corresponsable del tratamiento se publicó primero en Adaptación RGPD.

• La oferta de bienes o servicios a dichos interesados en la Unión, aunque no se requiera pago por ellos.
• El control de su comportamiento, cuando tiene lugar en la Unión Europea.

¿Cómo se regula la relación con ese representante? Lo primero que se tiene que determinar es la ubicación del representante. Este tiene que estar establecido en uno de los Estados miembros en que se encuentren los interesados sobre los que se realizan las actividades anteriores. Además, debe ser designado expresamente por mandato escrito para que actúe en nombre del responsable o encargado, respecto de todas las obligaciones que les son exigidas en la normativa de protección de datos.

Al representante se le puede encomendar que atienda junto al responsable o encargado del tratamiento las consultas, o bien que lo haga en su lugar.

Las autoridades de control le podrán imponer las medidas establecidas en el RGPD, así como sancionarle de forma solidaria junto con el responsable o encargado del tratamiento.

IMPORTANTE

En las cláusulas legales informativas se tiene que indicar quién es el representante del responsable o encargado.

La entrada ¿Cómo regula el responsable o encargado del tratamiento internacional la relación con su representante en la UE? se publicó primero en Adaptación RGPD.

En el art.4 del RGPD se define al responsable del tratamiento, como aquella persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento. Por otro lado, el encargado es aquella persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales siguiendo las instrucciones del responsable.

En la LOPDGDD existe un apartado, denominado “disposiciones aplicables a tratamientos concretos”, en el cual, la normativa indica cómo tienen que actuar el responsable y encargado en relación con los datos personales y esos tratamientos.

En sucesivos boletines los iremos desarrollando:

1º Tratamiento datos de contacto de empresarios.

2º Sistemas de información crediticia.

3º Videovigilancia.

4º Sistemas de exclusión publicitaria.

5º Información de denuncias internas.

IMPORTANTE

Es obligatorio que el responsable y encargado de tratamiento tengan bien cumplimentado y actualizado el registro de actividades del tratamiento.

La entrada Responsable del tratamiento y encargado del tratamiento se publicó primero en Adaptación RGPD.

La AEPD en su página web ha editado un catálogo de recomendaciones a tener en cuenta, así entre otros:

1º Entregar a los empleados un documento de funciones y obligaciones en materia de protección de datos, haciendo especial mención en el deber de confidencialidad. Evitando el acceso no autorizado y no exponiendo la pantalla a la mirada de terceros.

2º La información en soporte papel ha de ser mínima y garantizar una destrucción adecuada.

3º Proporcionar recursos de almacenamiento compartidos o en la nube.

4º Definir y utilizar contraseñas de acceso robustas.

5º No permitir al personal la descarga ni la instalación de aplicaciones o software que no haya sido previamente autorizado.

6º Habilitar un canal de comunicación de cualquier anomalía que afecte a la información.

IMPORTANTE

Las entidades tienen que garantizar una formación adecuada de su personal para un tratamiento seguro de la información.

La entrada Cuáles son las medidas para un teletrabajo seguro con recomendaciones sobre protección de datos se publicó primero en Adaptación RGPD.

A lo largo de la lectura del RGPD y de sus considerandos, encontramos muchas referencias a esa obligación, por parte del responsable, de mantener la seguridad aplicando medidas técnicas y organizativas adecuadas. Ahora cabe preguntarse, cómo puede conocer la entidad cuáles son esas medidas.

Lo primero que se tiene que realizar es un exhaustivo análisis de los riesgos que ese tratamiento puede ocasionar. Para ello tenemos que definir los activos involucrados en el proceso de tratamiento de datos, sus vulnerabilidades y las amenazas a las que se encuentran expuestos. El responsable tiene que aplicar unas medidas adecuadas, según el resultado de la probabilidad de que ocurran las amenazas y el daño que producirían.

En el art.32 del RGPD se recoge un listado de medidas que han de aplicarse. La seudonimización, el cifrado de datos personales, una evaluación periódica de la eficacia de las medidas y la capacidad de garantizar la confidencialidad y recuperación de los datos, entre otras.

IMPORTANTE

Se considera una infracción grave en la LOPDGDD la falta de adopción de medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

La entrada Cumplir con las medidas de seguridad del tratamiento se publicó primero en Adaptación RGPD.

¿Se supone entonces que los responsables y encargados del tratamiento de datos tienen que suspender las comunicaciones de brechas de seguridad ocurridas durante este plazo de tiempo?

La respuesta sería negativa. En este caso en concreto no afecta esa suspensión. Al contrario, es ahora más que nunca, cuando las entidades deben de mostrar su lado más proactivo y poner todos los medios que tengan a su alcance para hacer frente a los peligros y amenazas que puedan ocasionar ciberataques en nuestra entidad. Según la AEPD, las notificaciones de las brechas de seguridad proporcionan información que permiten a las Autoridades de Control y los ciudadanos aplicar las medidas necesarias, generando confianza en el uso de la nuevas tecnologías y seguridad de la información.

En el caso de que la brecha de seguridad no cumpla los criterios para su notificación a la AEPD tenemos que registrarla en el registro de incidencias y aplicar las medidas que sean necesarias.

IMPORTANTE

El plazo para notificar las brechas de seguridad a la Autoridad de  Control es de 72 horas desde que se tiene conocimiento de la brecha de seguridad.

La entrada ¿Tiene el responsable que seguir notificando a la AEPD las brechas de seguridad durante el estado de alarma? se publicó primero en Adaptación RGPD.

¿Cómo se deben tratar entonces los datos personales por los responsables y encargados de tratamiento?

Se han de tratar de forma lícita, leal y transparente en relación con el interesado, este sería el principio de licitud, lealtad y transparencia, dando una información adecuada. Los fines para los que se recojan tendrán que ser determinados y explícitos y además no se pondrán utilizar para otros diferentes, este es el principio de limitación de la finalidad. El principio de minimización requiere que los datos recogidos sean los adecuados, pertinentes y limitados a lo necesario para el cumplimiento de los fines. Por ejemplo, en un formulario de potenciales clientes, no solicitaremos más datos que los necesarios para enviar información. Los datos tienen que ser exactos y si fuera necesario actualizarlos. Además, se tienen que mantener sólo durante un plazo de tiempo determinado necesario para los fines del tratamiento. Todo ello, garantizando al interesado una total integridad y confidencialidad de sus datos.

IMPORTANTE

El responsable debe cumplir todos los principios de protección de datos y además ser capaz de demostrarlos (p.e. de responsabilidad proactiva)

La entrada Los Principios de Protección de datos se publicó primero en Adaptación RGPD.

(Madrid, 13 de febrero de 2020). La Agencia Española de Protección de Datos (AEPD) ha publicado Una aproximación para la adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial, un documento que aborda las inquietudes que el uso de esta tecnología genera en relación con la protección de datos personales, y repasa los aspectos más importantes que deben tenerse en cuenta a la hora de diseñar productos y servicios que lleven a cabo tratamientos de datos que incluyan Inteligencia Artificial (IA).

Con carácter general, la IA es la capacidad de una máquina de realizar análisis e inferencias a partir de información compleja o incompleta. Una definición más limitada es la llamada IA-débil, que se caracteriza por desarrollar soluciones capaces de resolver un problema concreto y acotado. Este documento se centra la adecuación al Reglamento de aquellos tratamientos de datos que incorporen partes de IA-débil.

La guía, dirigida a responsables que incorporen componentes de IA en sus tratamientos, así como a desarrolladores y encargados que den soporte a dicho tratamiento, comienza por introducir la relación entre la IA y la protección de datos, puesto que un elemento de IA podría estar tratando datos personales en distintas etapas de su ciclo de vida y, en consecuencia, tendría que cumplir con las obligaciones que establece el RGPD. Posteriormente, repasa las distintas relaciones que se pueden dar entre el responsable del tratamiento de datos personales con los terceros a los que podría contratar para realizar tareas.

Asimismo, se recogen las condiciones que deben cumplir estas tecnologías para garantizar y demostrar que el tratamiento efectuado se adecua al RGPD. Entre ellas se encuentran aspectos como la legitimación para el tratamiento, la información, el ejercicio de derechos y la toma de decisiones automatizadas. El documento también aborda la gestión de riesgo de un tratamiento para los derechos y libertades como parte del concepto de responsabilidad activa establecido en el RGPD, centrándose en aspectos como la exactitud, la minimización de datos, la evaluación de impacto y el análisis de la proporcionalidad del tratamiento, entre otros. Finalmente, analiza la posibilidad de que el uso de tecnologías basadas en IA implique transferencias internacionales de datos.

La Guía concluye con un apartado de conclusiones en el que la Agencia pone de manifiesto que la puesta en el mercado de tecnologías que hacen tratamientos de datos en los que se utiliza IA exige que se apliquen garantías de calidad y privacidad. También recuerda que el cumplimiento de lo establecido en el RGPD exige cierto nivel de madurez a los modelos de IA, de forma que se pueda determinar objetivamente la adecuación de los tratamientos y la existencia de medidas para gestionar sus riesgos.

Nota:

Fuente: AEPD

La entrada La AEPD publica una guía para adaptar al RGPD los productos y servicios que utilicen Inteligencia Artificial se publicó primero en Adaptación RGPD.

En la actualidad, muchas empresas conforman grupos empresariales y tratan datos personales de sus empleados, clientes y proveedores de forma conjunta. En lo que respecta al tratamiento de estos datos, cuando estos responsables determinan conjuntamente los objetivos y medios del tratamiento, éstos serán considerados como corresponsables. El acuerdo de corresponsabilidad tendrá que determinar de modo transparente y de mutuo acuerdo:

• Las responsabilidades respecto al cumplimiento de las obligaciones.
• El protocolo para el ejercicio de los derechos de los interesados.
• El suministro de información al interesado.

Los aspectos esenciales de este convenio se pondrán a disposición del interesado.

IMPORTANTE

Los interesados podrán ejercer sus derechos ante cualquier corresponsable, independientemente de lo dispuesto en el acuerdo.

La entrada Contratos de co-responsables del tratamiento se publicó primero en Adaptación RGPD.

Con fecha 04/01/2019 y 08/01/2019, se presentaron ambos escritos en la sede electrónica de la AEPD en los que se exponían que “en la Web de Vueling no se permite al usuario utilizar las cookies estrictamente necesarias y que no existe una acción afirmativa y positiva de consentimiento”.

A la vista de los hechos denunciados y de conformidad con las evidencias presentadas, la Inspección de Datos de la Agencia consideró que la entidad reclamada no cumple con las condiciones del art. 22.2 de la LSSI. Por un lado, el consentimiento a que se cedan datos a terceros a través de las cookies es implícito ya que no permite su denegación. Por otro lado, no facilita un panel de configuración para que el usuario pueda eliminarlas de forma granular. En la resolución se indican pautas para facilitar esa selección mediante botones en el panel, uno para rechazar todas las cookies y otro para habilitar todas las cookies o hacerlo de forma granular. La inspección de Datos considera que la información ofrecida sobre las herramientas proporcionadas por los navegadores no es suficiente y debe ser complementaria con lo anterior.

IMPORTANTE

La sanción por utilizar dispositivos de almacenamiento y recuperación de datos cuando no se haya obtenida el consentimiento puede llegar hasta los 30.000 euros.

La entrada VUELING AIRLINES, S.L sancionada por no informar debidamente sobre la utilización de cookies se publicó primero en Adaptación RGPD.