Feed on
Posts
Comments

NO ES NECESARIO EL CONSENTIMIENTO PARA TRATAMIENTO O CESIÓN DE DATOS SI EXISTE UN INTERÉS LEGÍTIMO EN EL TRATAMIENTO O COMUNICACIÓN DE LOS MISMOS

Feb 17th, 2012 por admin

El examen de la legalidad del Real Decreto 1720/07 por el que se desarrolla la LOPD se ha cerrado definitivamente con la sentencia del Tribunal Supremo de 14 de febrero de 2012 que pone punto final al recurso contencioso administrativo contra el mismo, resolviendo sobre la legalidad del artículo 10.2.

Esta sentencia es consecuencia de las cuestión prejudicial resuelta por el Tribunal de Justicia de la Unión Europea (TJUE) sobre la correcta transposición al ordenamiento jurídico español de la Directiva 95/46/CE en la que ya se adelantaba el fallo final del Supremo. Dicho fallo no es otro que la declaración de la nulidad del citado artículo en lo relativo a la excepción de necesidad del consentimiento cuando los datos procedieran de fuentes accesibles al público. En concreto el artículo dispone que será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando:

Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

Entienden ambos Tribunales que la exigencia de que los datos sean obtenidos de fuentes accesibles al público no consta entre los requisitos exigidos por la Directiva en su artículo 7, que se limita a decir que el tratamiento de datos personales sólo puede efectuarse si:

(…)

f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.

Por tanto, el hecho de añadir un nuevo requisito (que procedan de fuentes accesibles al público) supone una exigencia que limita enormemente las posibilidades de esta excepción,. Además, el hecho de que las fuentes accesibles al público tengan una regulación distinta en cada país miembro puede suponer que se limite de manera diferente la posibilidad de circulación de los datos dentro de los países conformantes de la Unión, algo que también es contrario al sentido de la Directiva.

Consecuencia de lo expuesto es que dicho precepto debe ser anulado en la parte que excede en lo establecido por la Directiva, que por otro lado ha sido interpretada como de aplicación directa por los Altos Tribunales español y europeo, y ello porque consideran que la redacción es suficientemente concreta como para permitir esta aplicación sin necesidad de transposición.

Como ya comentamos en nuestro anterior artículo referente a la sentencia del TJUE, esta decisión supone un alivio en las exigencias legales para el tratamiento de datos personales pero no cabe relajarse en exceso, hasta que no se concrete de manera efectiva por los Tribunales Españoles o por la propia Agencia Española de Protección de Datos cuando estamos antes supuestos de interés legítimo, es decir cuando se producen los supuestos en los que la finalidad del tratamiento se considera legítima.

Publicado en Adecuación al Reglamento de Protección de Datos, Agencia Española de Protección de Datos, Artículos, Delitos Informáticos, Nuevo Reglamento LOPD, Protección de Datos | No Hay Commentarios »

CONVOCATORIAS CURSOS DE FORMACIÓN EN PROTECCIÓN DE DATOS

Feb 1st, 2012 por admin

Tras el éxito obtenido en la convocatoria de formación del 2011, se van a celebrar nuevas ediciones, a lo largo del año 2012, del seminario “Aspectos básicos para la Adecuación de las Empresas a la Normativa de Protección de Datos.”.

 El objetivo del seminario es, en una jornada completa de mañana y tarde, hacer un análisis profundo sobre los aspectos básicos, tanto jurídicos como técnicos que deberán ser tenidos en cuenta a la hora de adecuar una empresa a la normativa de protección de datos. Igualmente realizaremos un análisis práctico del cumplimiento legal con ejemplos basados en los ficheros de datos típicos de una empresa. El programa del seminario será el siguiente:

PARTE I: LA LOPD EN LA EMPRESA

  • Normativa aplicable.
  • Disposiciones generales.
  • Principios
  • Datos especialmente protegidos
  • Cesiones/Comunicaciones de datos
  • Acceso a datos por parte de terceros
  • Derechos

 PARTE II: MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZATIVAS 

  • Medidas de Seguridad
  • Niveles de Seguridad
  • Ordenación / Clasificación

 PARTE III: LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS: PROCEDIMIENTOS Y SANCIONES

 PARTE IV: APLICACIÓN PRÁCTICA DE ASPECTOS JURÍDICOS Y TÉCNICOS A LOS FICHEROS HABITUALES DE LAS EMPRESAS

 -     Clientes y Proveedores. ¿Debo registrar el fichero de clientes y proveedores si mis clientes son sólo personas jurídicas? ¿y si recabo el DNI del apoderado de la empresa en la firma de contratos?

-     Personal.

-     Prevención de Riesgos Laborales. ¿Se debe aplicar un nivel de protección alto a los datos de trabajadores que indiquen la baja por enfermedad, el apto no apto de las revisiones médicas, y el % de discapacidad en la gestión de nóminas?

-     Candidatos. ¿Los test Psicotécnicos a los candidatos implican aplicar nivel de seguridad alto en el fichero candidatos? ¿podría reutilizar de nuevo el test psicotécnico?

-     Videovigilancia. ¿Debo colgar un cartel de videovigilancia en cada cámara? ¿se debe registrar fichero si no conservo datos?

-     Usuarios Web. ¿Puedo enviarles comunicaciones comerciales electrónicas a los usuarios que se den de alta en mi web?

-     Impagados, etc. ¿puedo dar de alta en ASNEF a un cliente al que no le haya reclamado la deuda vía burofax? ¿Qué debo exigir a mi empresa de recuperación de créditos?

Le recordamos que los cursos pueden ser bonificados a través de la Fundación Tripartita, vía descuentos seguros sociales con la Seguridad Social.

Los cursos tendrán lugar en las siguientes fechas:

FECHA HORA DIRECCIÓN
Martes 20 Marzo de 9.30 a 14.00 y de 15.30 a 18.00 MADRIDHotel NH Sanvy

C/ Goya, 3. 28001 Madrid
Lunes 14 mayo
Lunes 24 Septiembre
Lunes 19 Noviembre

 Cursos que serán impartidos y dirigidos por D. Fernando Ramos Suárez, Director del Departamento de Propiedad Intelectual e Industrial y TIC.

Plazas limitadas. Para confirmar su asistencia y ver los formularios de inscripción Click Aquí

Si necesita información adicional o cualquier aclaración no dude en comentárnoslo, poniéndose en contacto con Cristina Peremateu, a través del email: cristinaperemateu@lener.es

Departamento de Propiedad Intelectual

LENER

Publicado en Adecuación al Reglamento de Protección de Datos, Cursos / Conferencias, Nuevo Reglamento LOPD, Protección de Datos | No Hay Commentarios »

PRESENTADA LA PROPUESTA DE DESARROLLO DEL NUEVO REGLAMENTO EUROPEO EN MATERIA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Ene 31st, 2012 por admin

http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm

El pasado 25 de enero, se hizo público el contenido de la propuesta del nuevo Reglamento Europeo en materia de Protección de Datos de Carácter Personal, a falta de las matizaciones que puedan ser incluidas en la fase final previa a la publicación de su contenido definitivo. Esta propuesta supone un paso más en la armonización de la normativa europea en la materia y un reforzamiento en la protección de los datos personales de los ciudadanos de la Unión adaptada a la realidad social de evolución tecnológica. Entre las novedades podemos apuntar como especialmente relevantes las siguientes:

La armonización normativa, el hecho de optar por el  desarrollo vía Reglamento y no vía Directiva supone el fin de las diferencias que hasta la fecha podían existir en los distintos países de la Unión Europea, , ya no es necesario la transposición en los respectivos países si no que la nueva regulación será de aplicación directa sin necesidad de su aprobación en cada país miembro.

Ampliación del ámbito de aplicación. Se prevé  la aplicación de la normativa a aquellos prestadores de servicios que operen tratando datos ubicados en países de la Unión, con independencia de la nacionalidad del prestador, con lo que se pretende  evitar que los operadores arraigados en países sin un nivel de protección de la privacidad adecuado eviten  adaptarse a la legislación europea para poder operar en el mercado interno.

Fortalecimiento y ampliación de los principios ordenadores del tratamiento de datos personales, incidiendo en la limitación de las posibilidades del acopio de datos, así como las posibilidades para recabar consentimientos en aquellas situaciones en las que el titular de los datos no pueda decidir libremente por estar en la posición débil de la relación negociar (consumidor, empleado,…). Se refuerzan los derechos de los afectados, tanto para el conocimiento de para qué, cuándo y cómo se van a tratar su datos, como en sus derechos al respecto, tratando de evitar los abusos que se producen actualmente por parte de  responsables que pretenden mantener los datos de los afectados en contra de su voluntad.

Lucha contra el cumplimiento meramente formal de las medidas de seguridad. Los responsables de tratamiento deberán integrar la protección de datos personales como parte intrínseca de su actividad y no como un mero formalismo, exigiendo medidas que permitan contrastar la efectiva implantación de procedimientos y su conocimiento por parte de las personas que tienen acceso a  la información privada. Además deberá informase a las autoridades competentes en caso de incidencias que pueda afectar a los titulares de la información.

Homogenización y generalización de los tipos de sanciones y las competencias de las distintas entidades nacionales encargadas de velar por el cumplimiento de la normativa y promover su colaboración como instrumento más eficaz para extender la concienciación en la materia.

Se prevé una simplificación de las actuales normas para posibilitar las transferencias internacionales de datos, hoy revestidas de una gran carga burocrática que fomenta el desaliento para su solicitud y fomenta su realización “clandestina”. Estas medidas se acompañan de otras para garantizar que les condiciones aprobadas para las comunicaciones no queden en un mero formalismo, si no que sirvan de autentica hoja de ruta para la realización de las mismas.

A la espera de la aprobación definitiva del Reglamento, habrá que estar atentos a su evolución para poder anticipar  el cumplimiento de los nuevos requisitos, muy especialmente las grandes corporaciones, que tendrán que someterse a  procesos internos para no quedarse fuera de juego en su adaptación a los nuevas exigencias del mercado europeo.

Publicado en Artículos, Comisión Europea, Protección de Datos | No Hay Commentarios »

NUEVA EDICIÓN DE DESAYUNOS LENER: “LOS DEPARTAMENTOS DE RECURSOS HUMANOS Y LA LOPD: SOLUCIÓN A LOS PROBLEMAS”

Ene 19th, 2012 por admin

Tras los éxitos obtenidos y agotarse todas las plazas en las ediciones anteriores, se va a celebrar una nueva edición de DESAYUNOS LENER, bajo el título “LOS DEPARTAMENTOS DE RECURSOS HUMANOS Y LA LOPD: SOLUCIÓN A LOS PROBLEMAS” en nuestras oficinas:

FECHA HORA DIRECCIÓN
26 ENERO 2012 09:30 a.m Paseo de la Castellana, 23, Esc. 1, 1ª planta Madrid
PRÓXIMAMENTE 09:30 a.m Avd. Diagonal, 418, 2º 2ª
Edificio “Casa de les Punxes”
Barcelona

El objetivo del Desayuno es analizar desde un punto de vista práctico los problemas legales derivados del tratamiento de datos en los departamentos de RRHH y las soluciones legales que deben ser implantadas para el adecuado cumplimiento de la normativa de protección de datos. En el transcurso del desayuno se dará respuesta a diferentes cuestiones que esta materia suscita en los departamentos de RRHH:

Selección de Candidatos: ¿es necesario informar en materia LOPD a los CV recibidos? ¿puedo utilizar los CV´s por todas las empresas del grupo?

→ Inicio de la relación laboral: ¿la contratación de seguros médicos voluntarios requiere consentimiento del trabajador? ¿el uso de imágenes de los trabajadores y en la intranet o revistas corporativas incide sobre la LOPD?

→ Vigilancia y control del trabajador: ¿es lícito vigilar y controlar al trabajador sobre el uso del correo electrónico e Internet? ¿y a través de las cámaras de videovigilancia? ¿Qué medidas deben ser adoptadas para el control tecnológico del trabajador?

Cesión de Datos a terceros: ¿se pueden comunicar datos de trabajadores a empresas del grupo? ¿y a los sindicatos? ¿Qué datos personales pueden ser comunicados a los comités de empresa? ¿necesito consentimiento del para ceder los TC1 y TC 2 en supuestos de subcontratación de servicios?

→ La Prueba de contenido tecnológico en el Procedimiento Laboral: ¿Qué elementos debe reunir la prueba tecnológica en el procedimiento laboral?

Contaremos con la presencia de Fernando Ramos, Director del Departamento de Tecnologías de la Información de LENER, que nos acercarán de modo práctico y sencillo a las principales obligaciones que los departamentos de RRHH tienen en el tratamiento automatizado de datos personales.

DESAYUNOS LENER es un foro dedicado al desarrollo a la difusión de temas jurídicos en el que los profesionales de LENER comparten su experiencia y le acercan a las cuestiones relevantes para su empresa. Por ello, nos complace invitarle personalmente. Esperamos sea de su interés y pueda ayudarle a resolver las posibles dudas que le interese plantearnos.

Si está interesado en asistir, rogamos que se ponga en contacto con Cristina Peremateu por correo electrónico (cristinaperemateu@lener.es) para confirmar su asistencia. En caso de que algún miembro de tu organización estuviese interesado en asistir, no dudes en extenderle la invitación. Las plazas son limitadas y requieren confirmación previa. El evento es gratuito.

Atentamente

LENER

“The Lawyer European Awards 2009 y 2010: Finalista mejor Firma Ibérica”

“Corporate INTL Legal Awards 2010: Nominada en la categoría International/Cross Border”

Información Desayuno Lener 26 ENERO‘12 – Madrid: Descargar

Publicado en Adecuación al Reglamento de Protección de Datos, Agencia Española de Protección de Datos, Artículos, Blanqueo de Capitales, Cursos / Conferencias, Delitos Informáticos, Desayunos Lener, Eventos, Novedades Legislativas, Nuevo Reglamento LOPD, Propiedad Intelectual e Industrial, Protección de Datos | No Hay Commentarios »

EL TRIBUNAL DE LA UNIÓN EUROPEA ELIMINA REQUISITOS PARA LAS COMUNICACIONES DE DATOS

Nov 29th, 2011 por admin

El Tribunal de Justicia de la Unión Europea (TJUE)  acaba de dictaminar, en contestación a la cuestión prejudicial planteada por el Tribunal Supremo, sobre la correcta transposición al ordenamiento jurídico español de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas.

En concreto la cuestión se refería al hecho de que la norma española exija que los datos hayan sido obtenidos de fuentes accesible al público para excepcionar el consentimiento en la comunicación de datos cuando se realice para “la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos”.

El TJUE interpreta que, con independencia de las otras excepciones que permiten la comunicación de datos sin consentimiento del interesado, el hecho de que se exija que los datos sean recogidos de fuentes accesible al público supone un requisito de mínimos que es superior al establecido en artículo 7.f de la directiva, que pone como único condicionante el que “ no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva” que se refiere a “la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales”.

Concluye el TJUE que el artículo 7, letra f), establece dos requisitos acumulativos para que un tratamiento de datos personales sea lícito:

  • por una parte, que ese tratamiento de datos personales sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos,
  • y, por otra parte, que no prevalezcan los derechos y libertades fundamentales del interesado.

Por tanto, en lo que respecta al tratamiento de datos personales, el artículo 7, letra f), de la Directiva 95/46 se opone a toda normativa nacional que imponga exigencias adicionales que se sumen a los dos requisitos acumulativos mencionados en el apartado anterior en el caso de que no exista consentimiento del interesado. Trasladado al caso español, significaría que la exigencia de que de que los datos hayan sido obtenidos de fuentes accesibles al público para permitirse la comunicación es contrario a la Directiva, por añadir un requisito adicional no contemplado en la misma.

Así mismo, y en relación con la consulta de si este artículo de la Directiva es directamente aplicable, entiende el Tribunal que “resulta obligado hacer constar que el artículo 7, letra f), de la Directiva 95/46 es una disposición suficientemente precisa para poder ser invocada por un particular y aplicada por los órganos jurisdiccionales nacionales”.

Por todo ello, el tribunal concluye declarando que:

El artículo 7, letra f), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que se opone a una normativa nacional que, para permitir el tratamiento de datos personales necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, exige, en el caso de que no exista consentimiento del interesado, no sólo que se respeten los derechos y libertades fundamentales de éste, sino además que dichos datos figuren en fuentes accesibles al público, excluyendo así de forma categórica y generalizada todo tratamiento de datos que no figuren en tales fuentes”.

“El artículo 7, letra f), de la Directiva 95/46 tiene efecto directo”.

Ahora bien, esta “liberalización” de las cesiones de datos es muy relativa, ya que la condición de que exista un “interés legítimo” y de “que no prevalezca el interés o los derechos y libertades fundamentales del interesado” es suficientemente ambigua como para no permitir demasiadas alegrías en su interpretación, especialmente teniendo en cuenta que la interpretación de estos conceptos deberá ser valorado por la AEPD, que ya ha matizado que desde su punto de vista “de la sentencia no parece derivarse una alteración sustancial del marco vigente ni que el fallo comporte una merma en el grado de protección de los derechos de los ciudadanos, si bien en el futuro será preciso acentuar la ponderación de las circunstancias que concurran en cada supuesto para decidir sobre la legitimidad del tratamiento”.

En este sentido, hasta tanto en cuanto no se haya matizado por la AEPD o los tribunales españoles cuando se entiende que se produce el supuesto habilitante para la comunicación, no conviene despistarse en las solicitudes de consentimientos para las cesiones de datos.

Publicado en Artículos, Protección de Datos | No Hay Commentarios »

« Newer Posts - Older Posts »