Categorías

Entradas recientes

Archivos

Siguenos en:
LETSBLOG

RECOMENDACIONES PARA LA ADAPTACIÓN DE LOS CONTRATOS DE ENCARGO DE TRATAMIENTO AL NUEVO RGPD

La Agencia Española de Protección de Datos (AEPD) publicó una Guía con las directrices para la elaboración de contratos entre Responsables y Encargados del Tratamiento con los puntos clave a tener en cuenta en esta relación contractual conforme las nuevas implicaciones legales establecidas por Reglamento General de Protección de Datos (RGPD), que entró en vigor en mayo de 2016 y que será aplicable a partir de mayo de 2018.

En la mencionada Guía, la AEPD ofrece respuesta a una serie de cuestiones relacionadas con la figura del encargado de tratamiento de acuerdo con las novedades normativas del RGPD:

  • Deber de diligencia por parte del responsable del tratamiento: El responsable del tratamiento tiene una obligación de diligencia en la elección y supervisión del encargado, ya que éste sigue asumiendo la responsabilidad del correcto tratamiento de los datos personales que el encargado trate por cuenta del responsable. Por su parte, el encargado del tratamiento tiene el deber de adoptar todas las medidas necesarias para la protección de los datos personales y debe comprometerse a no utilizarlos para finalidades distintas a las pactadas con el responsable del tratamiento.
  • ¿El RGPD se aplica sólo a los encargads establecidos en el territorio de la UE?: No, el RGPD se va a aplicar al tratamiento de datos personales en el contexto de las actividades de un establecimiento del encargado en la UE, independientemente de que el tratamiento tenga lugar en la UE o no. El RGPD también se aplicará al tratamiento de datos personales de interesados que residan en la UE realizado por un encargado no establecido en la UE, cuando    las actividades de tratamiento estén relacionadas con: (i) La oferta de bienes o servicios a dichos interesados en la UE, independientemente de si se les requiere  su pago; (ii) El control de su comportamiento, en la medida en que tenga lugar en la UE.

Si el responsable decidiese contratar a un encargado que no esté establecido en el territorio de la UE o que efectúe el tratamiento fuera de este territorio, el responsable tendrá que estar a lo establecido en el RGPD en cuanto respecta a la realización de transferencias internacionales.
Leer más… »

NOVEDADES RGPD: RECOMENDACIONES PARA LOS RESPONSABLES DE TRATAMIENTO

La AEPD ha publicado recientemente la Guía para Responsables de Tratamiento , un documento importante y que aclara muchas de los interrogantes que se nos plantean con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el pasado mes de mayo.

  1. ¿CUÁNDO EMPEZAR LA ADAPTACIÓN LOS RESPONSABLES DE TRATAMIENTO?

Aunque el RGPD será aplicable a partir de mayo de 2018, en el periodo de transición es imprescindible preparar y adoptar las medidas necesarias para asegurar el cumplimiento de las previsiones de la nueva normativa en el momento en que sea de aplicación.

En este sentido, muchas de las recomendaciones o interpretaciones que ofrece la AEPD pueden ponerse en práctica de inmediato porque tienen que ver con actuaciones que debieran iniciarse ya durante el periodo de transición entre la entrada en vigor y el inicio de la aplicación del RGPD.

El RGPD incorpora dos claves que sirven de base de las principales novedades de esta nueva normativa:

  • Principio de responsabilidad proactiva

Se exige una actitud consciente, diligente y proactiva por parte de las empresas, que deberán analizar todos los tratamientos de datos personales que llevan a cabo para determinar la forma eResultado de imagen de RGPDn que aplicarán las medidas que el RGPD prevé. Será importante asegurarse de que son las medidas adecuadas y que así puede demostrarse ante los interesados y autoridades de supervisión.

  • El enfoque de riesgo

Será imprescindible realizar un análisis de los riesgos particulares de cada empresa. La aplicación del RGPD dependerá de las características de cada empresa, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.

  1. BASE DE LEGITIMACIÓN PARA EL TRATAMIENTO DE DATOS

Es imprescindible documentar e identificar claramente la base legal sobre la que se desarrollan los tratamientos, para lo cual será necesario:
Leer más… »

Conoce el procedimiento extrajudicial para la devolución de las cláusulas suelo

El pasado 21 de enero de 2017 se publicó el Real Decreto Ley 1/2017 de medidas urgentes de protección de consumidores en materia de cláusulas suelo para facilitar la solución de controversias entre los consumidores y las entidades bancarias en relación a estas famosas cláusulas.

Tras este pronunciamiento del Tribunal de Justicia de la Unión Europea, se prevé un cauce de carácter voluntario y sencillo para el consumidor que permita a los afectados solicitar la restitución de las cantidades pagadas por las cláusulas suelo permitiéndoles llegar a un acuerdo extrajudicial con las entidades de crédito.

Devolución de las cláusulas suelo

El procedimiento desarrollado en el Real Decreto Ley tiene su justificación en el incremento de las demandas de los consumidores afectados por las cláusulas suelo.

El Real Decreto 1/2017 establece un procedimiento sencillo que permite al consumidor la posibilidad de llegar a un acuerdo con la entidad bancarias para restituir las cantidades pagadas en aplicación de las cláusulas suelo.

Como se especifica en el art. 1 de este Real Decreto relativo al objeto del mismo, se pretende otorgar a los afectados una herramienta rápida y adecuada a sus reclamaciones, estableciendo una serie de medidas para facilitar a los usuarios la devolución de las cantidades por parte de las entidades de crédito.

El procedimiento estará permitido para el consumidor persona física con cláusulas suelo en su hipoteca, recogiendo el Real Decreto una definición de lo que se considerará cláusula suelo:

“Se entenderá por cláusula suelo cualquier estipulación incluida en un contrato de préstamo o crédito garantizados con hipoteca inmobiliaria a tipo variable, o para el tramo variable de otro tipo de préstamo, que limite a la baja la variabilidad del tipo de interés del contrato”
Leer más… »

GUÍA LEGAL PARA EL USO DE DRONES EN ESPAÑA

El uso de la tecnología de los drones es una tendencia cada vez más extendida, tanto desde una vertiente recreativa como profesional.

En este sentido, las aplicaciones prácticas de los drones para empresas y particulares es muy diversa: pueden ser utilizados como método de transporte en empresas de mensajería, instrumento de vigilancia, herramienta para la grabación de contenidos audiovisuales, actividades ocio, etc.

Por otro lado, y teniendo en cuenta que se trata de dispositivos aéreos no tripulados que funcionan con cierta autonomía, es necesario conocer los límites legales para poder realizar un uso lícito de los mismos.

A continuación te explicamos los principales aspectos legales que deben tenerse en cuenta para una utilización lícita de los drones:

1.- ¿Cuál es la normativa vigente aplicable?

La Ley 18/2014, de 15 de octubre, de aprobación de medidas urgentes para el crecimiento, la competitividad y la eficiencia (en adelante “Ley 18/2014”) es la normativa que actualmente resulta de aplicación para la utilización de “aeronaves civiles pilotadas por control remoto”.

2.- ¿La normativa vigente se aplica a todos los drones y para cualquier finalidad?

No. La Ley 18/2014 se aplica a todos los drones cuyo uso implique la realización de trabajos técnicos o científicos, esto es, drones para un uso profesional, cualquiera que sea su peso, si bien se establecen diferentes medidas a aplicar en función de si el peso del dron supera los 2, 25 ó 150 kg respectivamente.
Leer más… »

Es posible reclamar la devolución de los gastos de formalización de las hipotecas a los bancos

¿Has pagado gastos por la constitución y formalización de tu hipoteca? Ahora puedes reclamárselos a tu banco:

Multitud de juzgados y tribunales están dictando sentencias obligando a los bancos a devolver a sus clientes los gastos de formalización de las hipotecas. Estas sentencias siguen el criterio que estableció el Tribunal Supremo en su sentencia de 23 de diciembre de 2015, en la que declaró abusivas las cláusulas que imponen al cliente todos los gastos de formalización de hipotecas, como, por ejemplo:

  • Los gastos de Notaría y Registro de la Propiedad;
  • Las cantidades pagadas en concepto de Impuesto de Actos Jurídicos Documentados;
  • Los gastos de gestoría y de tasación del inmueble; entre otros.

En concreto, la Sala Primera de lo Civil del Tribunal Supremo, en su sentencia 705/2015, declaró que son nulas las cláusulas que “imponen al consumidor todos los costes derivados de la concertación del contrato como consecuencia de la intervención notarial y registral y el pago de los tributos en los que el sujeto pasivo es el banco, como sucede en determinados hechos imponibles del Impuesto de Actos Jurídicos Documentados”.La Sentencia establece que este tipo de cláusulas generan un desequilibrio y, por tanto, se consideran abusivas de acuerdo con el artículo 89 de la Ley 1/2007, de 16 de noviembre, General para la Defensa de los Consumidores y Usuarios.

Según el criterio del Alto Tribunal, estos gastos deberían ser asumidos por los bancos en su totalidad o, al menos, la mitad, porque son estas entidades las interesadas en registrar la escritura hipotecaria.

La cantidad de esos gastos es variable, pues depende del importe de la hipoteca, si bien normalmente suelen representar entre el 2% y el 3% del importe del préstamo. A modo de ejemplo, según la Organización de Consumidores y Usuarios (OCU) en una hipoteca media de 150.000 Euros, estos gastos de notario, registro e Impuesto de Actos Jurídicos Documentados pueden ascender a más de 3.000 Euros.

¿Quién puede reclamar la devolución de los gastos?
Leer más… »

E-Commerce: Privacidad y Comunicaciones Electrónicas

La mayoría de los E-Commerce utilizan las comunicaciones electrónicas para ponerse en contacto con sus clientes, mejorar la relación, enviarles ofertas comerciales y en general promocionar sus productos y/o servicios.

Podemos decir que a día de hoy las comunicaciones electrónicas resultan indispensables para cualquier empresa de comercio electrónico, siendo una práctica cada vez más extendida a nivel mundial, tanto vía email, como a través de llamadas telefónicas, SMS o incluso Whatsapp.

Por ello, la Comisión Europea ha elaborado una Propuesta de Reglamento de la Privacidad y las Comunicaciones Electrónicas que aumentará la protección de la vida privada de los ciudadanos y brindará nuevas oportunidades a las empresas.

La idea de la que parte esta Propuesta es la de crear nuevas posibilidades para tratar datos de comunicación y reforzar la confianza y seguridad en el mercado único digital. Esto beneficiará sin duda a los negocios online, puesto que permitirá mejorar las relaciones a través de medios electrónicos entre E-Commerce y consumidores.

Resultado de imagen de e commerceAdemás, esta Propuesta incluye normas aplicables a las comunicaciones electrónicas que siguen ya los principios del nuevo Reglamento Europeo de Protección de Datos que resultará directamente aplicable a todos los estados miembros a partir del próximo 25 de mayo de 2018. Las principales claves del nuevo Reglamento ya fueron objeto de un artículo publicado en este blog:  Primeras implicaciones prácticas del Reglamento General de Protección de Datos.

I. Novedades de la Propuesta:

La nueva propuesta contiene una serie de aspectos interesantes para los E-Commerce que deben tenerse en cuenta para llevar a cabo buenas prácticas en las comunicaciones comerciales con consumidores y usuarios. Desde Letslaw te contamos las claves de la Propuesta:

1.  Nuevos participantes:

La nueva propuesta amplia el ámbito de aplicación de las normas sobre privacidad, que hasta ahora solo se aplicaban a los medios de telecomunicación tradicionales, a los nuevos proveedores de servicios de comunicaciones electrónicas, como WhatsApp, Facebook Messenger, Skype, Gmail, iMessage o Viber.
Leer más… »

Nuevas Guías del Grupo de Trabajo del art.29: El Delegado de Protección de Datos, las Autoridades de Control y el Derecho de Portabilidad

El grupo de trabajo del art. 29 publicó el pasado mes de diciembre nuevas directrices para la adecuación al nuevo Reglamento General de Protección de Datos (RGPD) que entrará en vigor a partir del 25 de mayo de 2018. Estas guías interpretativas tratan de tres cuestiones:

  • La figura del Data Protection Officer o Delegado de Protección de Datos
  • La identificación de la Autoridad de Control Principal
  • El Derecho a la Portabilidad de los Datos
  1. DELEGADO DE PROTECCIÓN DE DATOS

gdprEn los art. 37, 38 y 39 del Reglamento se recoge la figura del Delegado de Protección de Datos (DPO). Es recomendable el nombramiento de un DPO para todos aquellos que traten datos personales, y obligatorio en determinadas situaciones como:

  • Entidades cuya actividad principal consista en el tratamiento de datos que, por su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática a gran escala (por ejemplo, empresas de Marketing Digital, big data, etc.)
  • Entidades que realicen tratamiento de categorías especiales de datos especiales, a las cuales se refiere el art. 9 del Reglamento:
    • Datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, con las excepciones del apartado segundo del mismo artículo.
    • Datos personales a que se refiere el apartado 1 podrán tratarse a los fines citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.
    • Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.
  • Entidades que realicen tratamiento de datos relativos a condenas e infracciones penales (recogidas en el art.10) a gran escala.
  • Autoridades y organismos públicos, excepto tribunales.


Leer más… »

Guía sobre los procedimientos de anonimización de los datos personales

La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una Guía que contiene una serie de orientaciones y garantías para llevar a cabo los procedimientos de anonimización de datos personales.

La Guía de la AEPD define los procesos y fases de anonimización que se deben adoptar para eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados, de manera que se garantice que cualquier operación o tratamiento que pueda ser realizado con posterioridad a la anonimización no consiga identificar a las personas titulares de los datos anonimizados.

Para llevar a cabo el proceso de anonimización, la AEPD aconseja definir un protocolo de actuación en base a las siguientes fases:

1.- Definición de equipo de trabajo

En el proceso de anonimización, se aconseja crear un equipo de trabajo y asignarle a cada componente determinadas funciones atendiendo a los perfiles que cada persona puede desarrollar en este proceso.

tecnologia_137998792_9113210_1706x960La AEPD considera que el equipo podría estar formado de la siguiente manera: (i) Responsable del fichero: decide sobre la finalidad a los que debe responder los datos personales, (ii) Responsable de protección de datos (en su caso, DPO): promover la realización de evoluciones de impacto previo en los procesos de anonimización y verificar la ejecución en dichos procesos, (iii) Destinatario de la información anonimizada y responsable del tratamiento de datos anonimizados: deciden sobre los requisitos de la información atendiendo a los objetivos finales a los que se destina la misma, (iv) Equipo de evaluación de riesgos: encargado de realizar la evaluación de riesgos inicial, evaluar el resultado del proceso, auditar el procedimiento de anonimización, (v) Equipo de preanonimización y anonimización: propone técnicas para una anonimización efectiva y elimina aquellas variables cuya anonimización no se ajuste a la finalidad, (vi) Equipo de seguridad de la información y del proceso: vela por las medidas de seguridad durante el proceso de anonimización.

2.-Independencia de funciones


Leer más… »

La agencia española de protección de datos inicia una investigación por la comunicación de datos entre whatsapp y facebook

El pasado mes de agosto WhatsApp actualizó los términos de su servicio y la política de privacidad, introduciendo cambios sobre la forma en la que maneja la información personal de sus usuarios. Podéis encontrar toda la información acerca de este tema en nuestra entrada: http://letslaw.es/blog/nueva-y-controvertida-politica-de-privacidad-de-whatsapp/

Tras esto, la AEPD inició de oficio una investigación cuyo objeto se centra en examinar si las comunicaciones de datos personales realizadas entre WhatsApp y Facebook, y los tratamientos que dicha comunicación genera, respetan la legislación española de protección de datos.

whatsapp-facebook-750x422

Más concretamente, los puntos clave de esta investigación son los siguientes:

 

  • qué información de los usuarios de WhatsApp se recoge y envía a Facebook,
  • fines para los que se utiliza,
  • plazos de conservación y,
  • opciones que se ofrecen a los usuarios para oponerse a los tratamientos de su información personal.

Esta actuación de investigación está en línea con iniciativas similares puestas en marcha por parte de Autoridades de Protección de Datos como Alemania, Italia o Reino Unido.


Leer más… »

Principales claves sobre las Evaluaciones de Impacto en la protección de datos

Actualmente en España no existe la obligación legal de realizar Evaluaciones de Impacto en la Protección de Datos en ningún sector o ámbito específico. Sin embargo, el nuevo Reglamento Europeo de Protección de Datos (REPD), aplicable a partir del próximo 25 de mayo de 2018, establece la obligación de realizar evaluaciones de impacto en determinados casos.

Cualquier ecommerce o empresa que trate datos de carácter personal deberá familiarizarse con este nuevo concepto y sus implicaciones legales.

¿Qué es una Evaluación de Impacto?

Una Evaluación de Impacto en la Protección de los Datos Personales (en adelante, “Evaluación de Impacto”) o Privacy Impact Assessment (PIA) es una obligación legal contemplada en el REPD que afecta a las empresas según el tipo de tratamiento de datos personales que realicen.

La Evaluación de Impacto deberá realizarse antes de llevar a cabo el tratamiento de datos, y consistirá en un riskoanálisis de los riesgos de un sistema de información, producto o servicio de una empresa que puedan causar un perjuicio para los afectados cuyos datos son tratados (pérdida de control sobre sus datos, usurpaciones de identidad, daños reputacionales o económicos…).

A raíz del análisis realizado, se deberá planificar una adecuada gestión de los riesgos identificados, adoptando las medidas necesarias para neutralizarlos o reducirlos en la medida de lo posible.

¿Cuándo es obligatorio realizar una Evaluación de Impacto?

El REPD establece en su artículo 35 la obligación de realizar una Evaluación de Impacto siempre que un tratamiento concreto pueda entrañar un “alto riesgo para los derechos y libertades de las personas físicas” y, especialmente, cuando se utilicen las nuevas tecnologías.


Leer más… »