Blog Post

El delegat de protecció de dades

  • Autor/a Martí Vilà Valls
  • 10 de jul., 2018

Com regula l'esborrany de nova LOPD el DPO?

La figura del delegat de protecció de dades adquireix una destacada importància en el Reglament (UE) 2016/679 i així ho recull el projecte de llei orgànica, que parteix del principi que pot tenir un caràcter obligatori o voluntari, estar o no integrat en l'organització del responsable o encarregat i ser tant una persona física com una persona jurídica.

La designació del delegat de protecció de dades ha de comunicar-se a l'autoritat de protecció de dades competent. L'Agència Espanyola de Protecció de Dades mantindrà una relació pública i actualitzada dels delegats de protecció de dades, accessible per qualsevol persona.

Els coneixements en la matèria, que han de superposar experiència en Dret i en matèria de protecció de dades,  es podran acreditar mitjançant esquemes de certificació, tot i que aquesta és potestativa.

Així mateix, no es podrà acomiadar, excepte en els supòsits de dol o negligència greu.

És de destacar que el delegat de protecció de dades permet configurar un mitjà per a la resolució amistosa de reclamacions, doncs l'interessat podrà reproduir davant ell la reclamació que no sigui atesa pel responsable o encarregat del tractament

La regulació es limita a delimitar el règim jurídic; la iniciació dels procediments, sent possible que l'Agència Espanyola de Protecció de Dades remeti la reclamació al delegat de protecció de dades o als òrgans o entitats que tinguin al seu càrrec la resolució extrajudicial de conflictes conforme a l'establert en un codi de conducta; la inadmissió de les reclamacions; les actuacions prèvies de recerca; les mesures provisionals, entre les quals destaca el bloqueig de les dades; i el termini de tramitació dels procediments i, si escau, la seva suspensió. Les especialitats del procediment es remeten al desenvolupament reglamentari.

Quan el responsable o l'encarregat del tractament haguessin designat un delegat de protecció de dades hauran de comunicar-li qualsevol addició, modificació o exclusió en el contingut del registre, segons l’art. 31 NLOPD sobre el RAT (Registre d’Activitats de Tractament).

La figura del Delegat de protecció de dades ve regulada en els arts 34 i ss.

En l’article 34 es planteja uns casos en els que la designació d'un delegat de protecció de dades és obligatòria si tira endavant la llei, tant els responsables com els encarregats del tractament hauran de designar un delegat de protecció de dades en els supòsits previstos en l'article 37.1 del Reglament (UE) 2016/679 i, en tot cas, quan es tracti de les següents entitats:

a) Els col·legis professionals i els seus consells generals, regulats per la Llei 2/1974, de 13 febrer, sobre col·legis professionals.

b) Els centres docents que ofereixin ensenyaments regulats per la Llei Orgànica 2/2006, de 3 de maig, d'Educació, i les Universitats públiques i privades.

c) Les entitats que explotin xarxes i prestin serveis de comunicacions electròniques conforme al que es disposa en la Llei 9/2014, de 9 de maig, General de telecomunicacions, quan tractin habitual i sistemàticament dades personals a gran escala.

d) Els prestadors de serveis de la societat de la informació quan elaborin a gran escala perfils dels usuaris del servei.

i) Les entitats incloses en l'article 1 de la Llei 10/2014, de 26 de juny, d'ordenació, supervisió i solvència d'entitats de crèdit.

f) Els establiments financers de crèdit regulats per Títol II de la Llei 5/2015, de 27 d'abril, de foment del finançament empresarial.

g) Les entitats asseguradores i re-asseguradores sotmeses a la Llei 20/2015, de 14 de juliol, d'ordenació, supervisió i solvència de les entitats asseguradores i re-asseguradores.

h) Les empreses de serveis d'inversió, regulades pel Títol V del text refós de la Llei del Mercat de Valors, aprovat per Reial decret Legislatiu 4/2015, de 23 d'octubre.

i) Els distribuïdors i comercialitzadores d'energia elèctrica, conforme al que es disposa en la Llei 24/2013, de 26 de desembre, del sector elèctric, i els distribuïdors i comercialitzadors de gas natural, conforme a la Llei 34/1998, de 7 d'octubre, del sector d'hidrocarburs.

j) Les entitats responsables de fitxers comuns per a l'avaluació de la solvència patrimonial i crèdit o dels fitxers comuns per a la gestió i prevenció del frau, incloent als responsables dels fitxers regulats per l'article 32 de la Llei 10/2010, de 28 d'abril, de prevenció del blanqueig de capitals i del finançament del terrorisme.

k) Les entitats que desenvolupin activitats de publicitat i prospecció comercial, incloent les de recerca comercial i de mercats, quan duguin a terme tractaments basats en les preferències dels afectats o realitzin activitats que impliquin l'elaboració de perfils dels mateixos.

l) Els centres sanitaris legalment obligats al manteniment de les històries clíniques dels pacients conformement al que es disposa en la Llei 41/2002, de 14 de novembre, bàsica reguladora de l'autonomia del pacient i de drets i obligacions en matèria d'informació i documentació clínica.

m) Les entitats que tinguin com un dels seus objectes l'emissió d'informes comercials que puguin referir-se a persones físiques.

n) Els operadors que desenvolupin l'activitat de joc a través de canals electrònics, informàtics, telemàtics i interactius, conforme al que es disposa en la Llei 3/2011, de 27 de maig, de regulació del joc.

o) Els qui exerceixin les activitats regulades pel Títol II de la Llei 5/2014, de 4 d'abril, de Seguretat Privada.

També es regula en l’article 35 com quins coneixements haurà de tenir el delegat de protecció de dades. Per això ens remet als requisits de l’art. 37.5 del RGPD. En aquest article ens diu que el delegat de protecció de dades serà designat atenent a les seves qualitats professionals i, en particular, als seus coneixements especialitzats de Dret i en la pràctica de la protecció de dades i a la seva capacitat per a desenvolupar les funcions indicades en l’article 39.

L’article 39 RGPD cita que el delegat de protecció de dades tindrà com a mínim les següents funcions:

a) informar i assessorar al responsable o a l'encarregat del tractament i als empleats que s'ocupin del tractament de les obligacions que els incumbeixen en virtut del present Reglament i d'altres disposicions de protecció de dades de la Unió o dels Estats membres;

b) supervisar el compliment del que es disposa en el present Reglament, d'altres disposicions de protecció de dades de la Unió o dels Estats membres i de les polítiques del responsable o de l'encarregat del tractament en matèria de protecció de dades personals, inclosa l'assignació de responsabilitats, la conscienciació i formació del personal que participa en les operacions de tractament, i les auditories corresponents;

c) oferir l'assessorament que se li sol·liciti sobre l'avaluació d'impacte relativa a la protecció de dades i supervisar la seva aplicació de conformitat amb l'article 35;

d) cooperar amb l'autoritat de control;

i) actuar com a punt de contacte de l'autoritat de control per a qüestions relatives al tractament, inclosa la consulta prèvia al fet que es refereix l'article 36, i realitzar consultes, si escau, sobre qualsevol altre assumpte.

La NLOPD ens assessora que el compliment dels requisits establerts en l'article 37.5 del Reglament (UE) 2016/679 per a la designació del delegat de protecció de dades, sigui persona física o jurídica, podrà demostrar-se, entre altres mitjans, a través de mecanismes voluntaris de certificació.

En l’article 36 es regula la posició del delegat de protecció de dades. Aquí es llegeixen les següents actuacions que ha de portar a terme el delegat de protecció de dades:

1. El delegat de protecció de dades actuarà com a interlocutor del responsable o encarregat del tractament davant l'Agència Espanyola de Protecció de Dades i les autoritats autonòmiques de protecció de dades.

2. Quan es tracti d'una persona física integrada en l'organització del responsable o encarregat del tractament, el delegat de protecció de dades no podrà ser acomiadat ni sancionat pel responsable o l'encarregat per exercir les seves funcions tret que incorregués en dol o negligència greu en el seu exercici.

3. En l'exercici de les seves funcions el delegat de protecció de dades tindrà accés a les dades personals i processos de tractament, no podent oposar a aquest accés el responsable o l'encarregat del tractament l'existència de qualsevol deure confidencialitat o secret, incloent el previst en l'article 5 d'aquesta llei orgànica.

4. Quan el delegat de protecció de dades apreciï l'existència d'una vulneració rellevant en matèria de protecció de dades ho comunicarà immediatament als òrgans d'administració i direcció del responsable o l'encarregat del tractament.

En l’article 37 es regula com ha d’intervenir el delegat de protecció de dades en cas de reclamació davant les autoritats de protecció de dades:

1. Quan el responsable o l'encarregat del tractament haguessin designat un delegat de protecció de dades l'afectat podrà, amb caràcter previ a la presentació d'una reclamació contra aquells davant l'Agència Espanyola de Protecció de Dades o, si escau, davant les autoritats autonòmiques de protecció de dades, dirigir-se al delegat de protecció de dades de l'entitat contra la qual es reclami.

En aquest cas, el delegat de protecció de dades comunicarà a l'afectat la decisió que s'hagués adoptat en el termini màxim de dos mesos a explicar des de la recepció de la reclamació.

2. Quan l'afectat present una reclamació davant l'Agència Espanyola de Protecció de Dades o, si escau, davant les autoritats autonòmiques de protecció de dades, sense haver fet ús de la possibilitat a la qual es refereix l'apartat anterior, aquelles podran remetre la reclamació al delegat de protecció de dades a fi que aquest respongui en el termini d'un mes. Si transcorregut aquest termini el delegat de protecció de dades no hagués comunicat a l'autoritat de protecció de dades competent la resposta donada a la reclamació, aquesta autoritat continuarà el procediment conformement a l'establert en el Títol VIII d'aquesta llei orgànica i en les seves normes de desenvolupament.

 

Which treatments of images are excluded of the fulfilment of the GDPR?

Autor/a Martí Vilà Valls 23 de juliol de 2018


The Friday June 29, 2018 the Spanish Agency of Protection of Data (AEPD) published the new guide on the use of camcorders for security and other purposes, updating, adapting and systematising his criterion to the standards of the Regulation (EU) 2016/679 of the European Parliament and of the Council of April 27, 2016 relative to the protection of the physical people regarding the treatment of personal data and to the free circulation of these data (GDPR).

Already we know that the GDPR deletes the registration of files, but forces to the majority of professionals to have his Register of Activities of Treatment (RAT). The catchment of images considers a treatment more. Therefore, it needs that have a file on personal data obtained by means of video surveillance. The majority of catchments of images already are photographic, already are of video surveillance have to fulfil what stipulates the GDPR.

Now well, there are cameras that allow it viewing in real time, but that they do not record the images. Before coming into force it Regulation these were excluded to be included in the files, but at present the RGPD forces to have them inscribed in a file. For all, the catchment of images in alive, although they are not recorded, can reach consider a treatment of personal data and has to be included in the register of activities of treatment of the company.

Now well, the GDPR does not apply when the cameras are mock, since it does not produce a treatment of personal data of physical people. But has to take into account that if it treats of real cameras disabled or that can be actuated without excessive efforts, will have to apply the valid principles in matter of protection of personal data and the sectorial rule that result of application.

The catchment and broadcast of images with promotional purpose remains excluded of the fulfilment of the RGPD when the images do not affect to identified or identifiable people. Only if can identify a person through the images caught has to be the treatment subjected to what has the RGPD. We imagine the tourist images of promotion of a beach or the images of observation of the state of the sea for the practical of aquatic sports. Then if they cannot recognise the people, these remain out of the dictates it Regulation. If can reach identify somebody, then goes in an activity of treatment and has to fulfil the GDPR.

If the cameras are implanted in public places they are govern for the organic law 4/1997 of 4 of August that regulates the use of camcorders for the Strengths and Bodies of Security, being they the only competent to install cameras in public places. All the public administrations have to fulfil with the RGPD. Also the cameras installed to the public road.

Neither are they subjected to the normative of protection of data the treatments in the personal and domestic field. The RGPD does not apply in the treatment of images affected by a physical person in the exercise of activities exclusively personal or domestic.

Which happens with the images of the social networks published by a particular? And for a particular that acts for a company? As the AEPD if an user of the social networks acts on behalf of a company or of an association or uses it how a platform with commercial purposes, political or social, the exception of the personal or domestic field does not apply. These treatments already are publications of videos or of pictures, have to fulfil with the RGPD and have to subject to all his demands. The headline would be the company or association that would obtain an advantage with this promotion, advertising, publication or what treated.

Finally we have to speak about the publication of images in the media, fact that supposes an exercise of the right to the freedom of expression and information that confers them the article 20 of the Spanish Constitution. In these cases, and when have seen violated the right to the protection of data of personal character, have to ponder between the right to the freedom of expression and information and the right to the privacy, to know which prevails on the other.

If you want to know more on exclusions video surveillance and in catchment of images and normative of protection of data can put you in contact with us to info@dataprotection.cat

Qué tratamientos estan excluidos de cumplir el RGPD?

Autor/a Martí Vilà Valls 23 de juliol de 2018

La Agencia Española de Protección de Datos (AEPD) ha publicado una nueva guía sobre el uso de cámaras de vídeo para seguridad y otras finalidades, adaptando al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en cuanto al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) la normativa en cuestión de captación de imágenes.

Ya sabemos que el RGPD elimina la inscripción de ficheros, pero obliga a la mayoría de profesionales a tener su Registro de Actividades de Tratamiento (RAT). La captación de imágenes se considera un tratamiento más. Por lo tanto, necesita que tengamos un fichero sobre datos personales obtenidos mediante video vigilancia. La mayoría de captaciones de imágenes ya sean fotográficas, ya sean de video vigilancia tienen que cumplir el que estipula el RGPD.

Ahora bien, hay cámaras que permiten el visionado en tiempo real, pero que no graban las imágenes. Antes de entrar en vigor el Reglamento estas estaban excluidas de ser incluidas en los  ficheros, pero actualmente el RGPD obliga a tenerlas inscritas en un fichero. Por todo, la captación de imágenes en vivo, aunque no sean grabadas, se puede llegar a considerar un tratamiento de datos personales y se tiene que ser incluido en el registro de actividades de tratamiento de la empresa.

Ahora bien, el RGPD no se aplica cuando las cámaras son simuladas, puesto que no se produce un tratamiento de datos personales de personas físicas. Pero se tiene que tener en cuenta que si se trata de cámaras reales desactivadas o que pueden ser activadas sin esfuerzos excesivos, se tendrán que aplicar los principios vigentes en materia de protección de datos personales y la normativa sectorial que resulte de aplicación.

La captación y emisión de imágenes con finalidad promocional queda excluida del cumplimiento del RGPD cuando las imágenes no afecten a personas identificadas o identificables. Sólo si se puede identificar una persona a través de las imágenes captadas tiene que estar el tratamiento sometido al que dispone el RGPD. Imaginemos las imágenes turísticas de promoción de una playa o las imágenes de observación del estado de la mar para la práctica de deportes acuáticos. Pues si no se pueden reconocer las personas, estas quedan fuera del que dicta el Reglamento. Si se puede llegar a identificar alguien, entonces entra dentro de una actividad de tratamiento y tiene que cumplir el Reglamento.

Si las cámaras están implantadas en lugares públicos se rigen por la ley orgánica 4/1997 de 4 de agosto, que regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, siendo ellos los únicos competentes para instalar cámaras en lugares públicos. Aun así, todas las administraciones públicas tienen que cumplir con el *RGPD. También las instalaciones de cámaras a la vía pública.

Tampoco están sometidas a la normativa de protección de datos los tratamientos en el ámbito personal y doméstico. El RGPD no se aplica en el tratamiento de imágenes efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.

Qué pasa con las imágenes de las redes sociales publicadas por un particular? Y por un particular que actúa por una empresa? Según la AEPD si un usuario de las redes sociales actúa en nombre de una empresa o de una asociación o lo utiliza como una plataforma con finalidades comerciales, políticas o sociales, la excepción del ámbito personal o doméstico no se aplica.  Estos tratamientos, ya sean publicaciones de vídeos o de fotografías, tienen que cumplir con el RGPD y se tienen que someter a todas sus exigencias. El titular seria la empresa o asociación que obtendría una ventaja con esta promoción, publicidad, publicación o el que se tratara.

Finalmente se tiene que hablar de la publicación de imágenes en #los medios, hecho que supone un ejercicio del derecho a la libertad de expresión e información que los confiere el artículo 20 de la Constitución Española. En estos casos , y cuando se haya visto vulnerado el derecho a la protección de datos de carácter personal, se tienen que ponderar entre el derecho a la libertad de expresión e información y el derecho a la privacidad, para saber cuál prevalece sobre el otro.

Si queréis saber más sobre exclusiones en video vigilancia y en captación de imágenes y normativa de protección de datos os podéis poner en contacto con nosotros en info@dataprotection.cat

Totes les imatges captades per vídeo han de complir el RGPD?

Autor/a Martí Vilà Valls 23 de juliol de 2018
Captació d'imatges per videovigilància. Compliment normatiu. RGPD. GDPR. Exclusions.
Show More
Share by: