Publicada el 19601 canal de denuncias Compliance DPD DPO Encargado del tratamiento ISO 19601 UNE 19601

Boletín agosto 2022: Canales de denuncia y designación de DPO

Hasta ahora los canales de denuncia eran más bien propios en empresas u organizaciones que tenían implantados sistemas de cumplimiento normativo o Compliance. La plena exigibilidad de la Directiva (UE) 2019/1937, más conocida como Directiva Whistleblowing -que formará parte de nuestro ordenamiento jurídico a través de una norma de rango legal- obligará a las empresas de más de 50 empleados a contar con canales de denuncia habilitados para la comunicación interna y externa de posibles conductas delictivas. Toda organización con más de 50 empleados deberá contar con un canal de denuncias Toda organzación con canal de denuncias debe contar con... Leer más

Publicada el Accountability AEPD Compliance Cumplimiento normativo Medidas de seguridad Principios LOPD Sanciones

Boletín junio 2022: La formación debe demostrarse

Recientemente un Tribunal de la ciudad de Cluj (Rumanía) ha impuesto una sanción de 100.000 euros a una entidad financiera porque algunos de sus empleados revelaron (y compartieron entre ellos) datos de clientes a través de whatsapp. El Tribunal entendió que se vulneró el art 32 del RGPD al no haber aplicado las medidas de seguridad adecuadas en lo relativo a la concienciación y comunicación de funciones y obligaciones a los empleados. Además, la sentencia insiste en que no se ha podido demostrar que los empleados recibiesen formación o que se pudiese contrastar la adquisición de conocimientos por su parte.... Leer más

Publicada el Agencia Española de Protección de Datos Compliance Cumplimiento normativo Encargado del tratamiento Evaluación de impacto Privacidad desde el diseño Transferencia internacional de datos

Esas transferencias de las que usted me habla

Aprovechando la reciente publicación por parte de la Comisión Europea de las nuevas cláusulas tipo actualizadas para contratos de encargados del tratamiento y para las transferencias internacionales de datos (echa un vistazo aquí a la Decisión), derivadas de las acciones del señor Schrems ante los Tribunales de Justicia (sí, otra vez), vamos a tratar de las transferencias esas a las que nadie conoce. A estas alturas el tema de los encargados del tratamiento se va teniendo claro: son aquellos terceros que prestan un servicio que supone o puede suponer el acceso a tratamientos de datos. El caso típico es el... Leer más

Publicada el AEPD Agencia Española de Protección de Datos base legal Bases jurídicas Control horario Legitimación Principios LOPD Privacidad desde el diseño RGPD

Boletín mayo 2021. Tratamiento de datos biométricos

Los tratamientos de datos de categorías especiales, es decir, aquellos que a los que la normativa de protección de datos dedica más cuidado, son cada vez es más frecuentes. No solo son datos de categorías especiales los de salud o creencias; tratamientos de datos como la huella dactilar o el reconocimiento facial se encuentran en este supuesto. En el caso, por ejemplo, del reconocimiento facial usado para llevar un control horario, el tratamiento de datosdebería superar este juicio: Idoneidad: El método elegido para llevar a cabo el control debe ser el adecuado, no habiendo otra alternativa menos lesiva en la... Leer más

Publicada el AEPD cookies LOPDGDD LSSI RGPD Web

EL CAMINO DE BALDOSAS AMARILLAS DEL LEGAL TIC

Si hay dos colectivos que deberían entenderse somos el de programadores y diseñadores web por un lado y el de abogados (tic) por otro. A los segundos tal vez nos cuesta ponernos en el lugar de quien tiene que hacer algo funcional y atractivo (y asumamos la realidad, en general somos unos ladrillazos de individuos) y a los primeros entender que todo tiene consecuencias legales y que no es que seamos unos tocanarices porque sí, es que después nos riñen si pasa algo. Por eso, no nos queda otra opción que amarnos, o no amarnos -eso ya cada uno-, pero... Leer más

Publicada el Bases jurídicas Consentimiento Evaluación de impacto interés legítimo Legitimación LOPDGDD Nueva LOPD RGPD Videovigilancia

Dentro del laberinto (de la legitimación)

Esto de las bases de legitimación no es sencillo. Tiene su enjundia. Cuando la cosa se pone un poco enrevesada hay que exprimir el limón bien. A estas alturas, todavía sigo a vueltas con las bases de legitimación para el tratamiento de datos y en especial con el consentimiento y el interés legítimo. Y lo que nos queda… Sigo, decía, porque acabo de encontrarme de nuevo con un “Es que nos han dicho que tenemos que tener autorización para hacer la factura”.Bueno, pues vamos a ver si es verdad. La autorización para contratar no tendría porqué ir vinculada al tratamiento... Leer más

Publicada el AEPD Agencia Española de Protección de Datos LOPDGDD Nueva LOPD Partidos políticos Principios LOPD RGPD

La AEPD hace un Karius (y los políticos nos meten un gol en la protección de datos)

¿Recuerdan ustedes a Karius? Es el nombre del famoso portero del Liverpool que en la final de la Champions League de 2018 tuvo la peor tarde en el peor momento posible con sus inolvidables cantadas. En efecto, desde aquel momento hacer un Karius pasó a ser sinónimo de dejarse colar un gol de forma estrepitosa. Hay dos elementos en un Karius: el disparo a puerta y el propio Karius. EL DISPARO A PUERTA El disparo viene desde las bancadas del Senado (para que después digan que no sirve para nada) de forma alevosa y nocturna, gestado por la vía de... Leer más

Publicada el RGPD Uncategorized Videovigilancia

Diez preguntas y respuestas sobre protección de datos

En un mundo donde tendemos a clasificar todo y hacemos listas de los más y de los menos, un fans de la protección de datos como yo no podía dejar la oportunidad de hacer su propia lista. Un top-ten que recopila algunos de los hits más destacados en materia de protección de datos. ¿Esto con poner la firma en el email ya está, no? A ver como lo explico de forma sencilla: No, no está. Vamos a partir de la base de que poner una firma en el correo electrónico queda bonito y te hace parecer muy preocupado con esto... Leer más

Publicada el Bases jurídicas Legitimación RGPD

Encuentros en la tercera base (jurídica)

El Reglamento Europeo de Protección de Datos detalla en su artículo 6 una lista de bases jurídicas que permiten el tratamiento de los datos (eso sin contar con los supuestos del art 9 en el caso de datos especialmente protegidos). Son las que ya a estas alturas comienzan a sonar; el consentimiento del interesado, el cumplimiento o ejecución de un contrato, el interés público, el cumplimiento de una obligación legal, el interés legítimo del Responsable, el interés vital de la persona y se acabó el asunto. Para que quede más claro podemos decir que eso de las bases jurídicas que... Leer más

Publicada el intimidad Medidas de seguridad Principios LOPD Sanciones

Largo domingo de multazo

¿Recuerdan a Audrey Tautou interpretando inocentes señales para autoayudarse en Largo Domingo de Noviazgo? “Si llego a la curva antes que el auto, Manech está vivo”. “Si Garbanzo entra antes de que me llamen a cenar, Manech está vivo”. Pues algo así debió pensar el instalador de Movistar al que ha sancionado la Agencia Española de Protección de Datos; “Si los cables se enrollan es que la clienta quiere algo”. Lo malo es que a la Agencia Española de Protección de Datos no le ha parecido una interpretación correcta de la señal y conforme se recoge en la resolución R/01341/2018,... Leer más