|
En este número... ¿Data Protection Day? ¿Privacy Day?; Consecuencias jurídicas derivadas de la nueva normativa de privacidad europea; De la administración electrónica a la administración digital; La Administración Informacional del Ministerio Fiscal; Intimidad y cámaras de vigilancia falsas; ¿Se puede utilizar la huella para el control de accesos a un gimnasio?; Multas impuestas por la AEPD en aplicación del RGPD; El Esquema Nacional de Seguridad; Efecto y modo de implantación de la nueva ISO/IEC 27701:2019 en el ámbito empresarial; Data Breaches and the GDPR; Un presente incierto para la Ingeniería de la Privacidad… | |
PRESENTACIÓN |
Presentación Mónica Arenas Ramiro El número tres de la Ley Privacidad nace rodeado, como contará el Director de la Revista en el Editorial, de las recientes celebraciones que nos recuerdan que hace ya catorce años en el Consejo de Europa se dio el paso de poner en la palestra y hacer visible un derecho que sigue haciendo frente a nuevos y numerosos retos. De esos retos damos ahora noticia con expertos que los resumen y estudian para nuestros lectores. | |
EDITORIAL |
¿Data Protection Day? ¿Privacy Day? Ricard Martínez Martínez En la próxima década se impone una visión instrumental de la privacidad que dinamice el desarrollo de los sectores público y privado. El derecho fundamental a la protección de datos debe situarse en su posición natural, como la garantía ética y jurídica que, por ejemplo, reclama el Comité de Expertos de la Unión en materia de inteligencia artificial. | |
ENTREVISTA |
Mr. Wojciech Wiewiórowski, EDPS «We will focus on maintaining an exemplary leadership role in compliance and in the promotion of data protection» A conversation with the new European Data Protection Supervisor to find out his assessment of the current situation in the sector and his plans and objectives for this brand new mandate. Conversamos con el nuevo Supervisor Europeo de Protección de Datos para conocer su valoración de la situación actual del sector y sus planes y objetivos para el mandato que comienza. | |
ESTUDIO JURÍDICO |
A propósito de algunas de las consecuencias jurídicas derivadas de la nueva normativa de privacidad europea Javier Puyol Montero Magistrado excedente. Consultor TIC's Los cambios sociales, culturales y económicos vinculados al desarrollo de la tecnología han marcado profundamente la necesidad de revisar y actualizar en toda su extensión el régimen jurídico de la privacidad. Al hilo de ello, no debe pasarse por alto algunas cuestiones de naturaleza ética, que cobran importancia a la luz del nuevo Reglamento Comunitario, entre ellas se potencia la libertad de decisión, pero se aumenta muy considerablemente la responsabilidad por las decisiones que finalmente sean adoptadas por los responsables de tratamiento. Los operadores jurídicos que operan en el ámbito de la privacidad tienen que poder acreditar y justificar las decisiones que han tomado, y el alcance de los tratamientos de los datos de carácter personal llevados a cabo, todo ello desde la perspectiva de la accountability y la evaluación del riesgo. | |
EL FORO DE LA PRIVACIDAD |
De la administración electrónica a la administración digital y la seguridad pública como baluarte de la protección de los datos personales Ana Marzo Portera Abogada La velocidad a la que se suceden las innovaciones tecnológicas y el fenómeno de la globalización han transformado profundamente los métodos de recogida, acceso, utilización y transferencia de un volumen de datos personales en constante crecimiento. Las nuevas formas de compartir información entre las Administraciones Públicas y el almacenamiento remoto de los datos que estas acopian han pasado a formar parte de la existencia cotidiana de la llamada Administración Electrónica y de la «Digitalización de la Administración Pública». En este nuevo entorno digital, la existencia de un alto nivel de protección de los datos personales es crucial tanto para los interesados como para la salvaguarda del interés público y las funciones esenciales de las Administraciones y Autoridades Públicas. | |
La Administración Informacional del Ministerio Fiscal Francisco J. Hernández Guerrero Fiscal Delegado de Criminalidad Informática Al hilo de la emisión de la Instrucción 2/2019 de la Fiscalía General del Estado se realiza una descripción y un análisis crítico de los aspectos organizativos de la regulación de protección de datos personales aplicados al Ministerio Fiscal. Se analizan con mayor profundidad los aspectos regulatorios de la actividad de protección de datos en el ámbito de la Fiscalía; así como de las figuras introducidas por la instrucción, en particular el responsable de los tratamientos, la modalidad elegida de delegado de protección de datos; haciéndose una reflexión final sobre la problemática de la determinación de la autoridad de control para esta institución de relevancia constitucional. |
Intimidad y cámaras de vigilancia falsas: la sentencia del Tribunal Supremo de 7 de noviembre de 2019 Mónica Arenas Ramiro Profesora de Derecho Constitucional. Delegada de Protección de Datos En noviembre de 2019 el Tribunal Supremo sentenció que la instalación de cámaras falsas representaba una lesión de los derechos a la intimidad y propia imagen. Nada se dijo del derecho a la protección de datos, pero las consecuencias para este derecho, así como, especialmente, para nuestra privacidad no se harán esperar. |
¿Se puede utilizar la huella para el control de accesos a un gimnasio? F. Javier Sempere Samaniego Letrado del Consejo General del Poder Judicial Cada vez se utiliza con mayor frecuencia los datos biométricos para diversas finalidades. La huella es un tipo de dato biométrico, que en ocasiones se usa para el control de accesos a instalaciones, como es el caso que se analiza en este artículo relativo a su posible uso para acceder a un gimnasio. |
Multas impuestas por la AEPD en aplicación del RGPD: motivos y cuantías Nuria Méler Ginés Especialista en protección de datos Victoria Royo Pérez Especialista en protección de datos Recopilación de multas de la AEPD impuestas durante 2019, que en diciembre sumaban más de dos millones de euros. Esta tabla resume los hechos infractores, clasificándolos por sectores, e indicando los preceptos del RGPD vulnerados y la cuantía de la sanción para cada caso, con expresa mención si ha habido terminación por pago en periodo voluntario. Además, se incluyen prácticos gráficos que recogen de manera visual la información por meses, por infracciones y por cuantías en cada sector. |
CIBERSEGURIDAD |
El Esquema Nacional de Seguridad como referente sobre medidas de seguridad en la LOPDGDD Renato Aquilino Pujol Licenciado en Informática Análisis del Esquema Nacional de Seguridad, su capacidad para constituir el marco sobre medidas de seguridad que le asigna la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y sugerencias para las necesarias modificaciones que deberá incorporar para ser un efectivo referente en la materia. | |
Efecto y modo de implantación de la nueva ISO/IEC 27701:2019 en el ámbito empresarial Laura Burillo Zamora Consultora de Seguridad de la Información y Protección de Datos Entelgy Innotec Security La nueva sociedad digital y la aparición de nuevos actores en el mercado, así como los nuevos modelos de publicidad, la cada vez más habitual descarga de nuevas aplicaciones móviles, nos llevan irremediablemente a facilitar gran cantidad de información personal a cambio de la prestación de servicios. La creciente concienciación sobre la privacidad está llevando a los diferentes países a legislar en consecuencia. Uno de los puntos de inflexión se produce con la aprobación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD). Uno de los objetivos de esta norma es, abordar el impacto de las nuevas tecnologías en el tratamiento de los datos de carácter personal introduciendo la aplicación de medidas de seguridad técnicas y organizativas en las empresas. El nuevo estándar internacional ISO/IEC 27701:2019 sobre Seguridad de Datos Personales, que fue aprobado el pasado mes de agosto, supone un importante cambio en la gestión de la información que lleve aparejada el tratamiento de datos de carácter personal, hoy en día y cada vez más, la mayoría de organizaciones. |
Data Breaches and the GDPR: common mistakes in information security management Luis Enríquez Álvarez Professor of Ethical Hacking and Digital Forensics. Université de Lille El RGPD presenta nuevos paradigmas en el área de la seguridad de la información. Las medidas organizacionales y técnicas de seguridad son el fundamento para la protección de datos personales. Sin embargo, aún existen muchas incertidumbres acerca de adaptar metodologías tradicionales de gestión de riesgos hacia la conformidad con el RGPD. Si no existe un 100% de seguridad, ¿cómo puede existir la privacidad al 100%?, o tal vez ¿es la conformidad al 100% con el RGPD un mito? Este artículo compara desde una perspectiva de seguridad, algunas sanciones relevantes causadas por violaciones de datos en la Unión Europea. |
Un presente incierto para la Ingeniería de la Privacidad Genís Margarit i Contel Ingeniero de Telecomunicaciones Los objetivos de la Ingeniería de la Privacidad pueden ser percibidos como incompatibles con el mercado digital actual. La llegada de la Web 2.0 o web social, hace dos décadas, implicó que las personas usuarias de Internet se convirtieran en las que generaban el contenido. Toda esta información aportada a la red, ha permitido la globalización. Este artículo presenta el entorno en el que se encuentran las tecnologías avanzadas que propone la Ingeniería de la privacidad. |
ESPACIO EUROPEO DE PROTECCIÓN DE DATOS |
El nuevo capítulo del Supervisor Europeo de Protección de Datos y las novedades del Comité Europeo de Protección de Datos Graça Costa Administradora del Supervisor Europeo de Protección de Datos Nerea Peris Brines Administradora en la Secretaría del Comité Europeo de Protección de Datos Coordinador: Leonardo Cervera Navas Director del Supervisor Europeo de Protección de Datos El Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, ha marcado el segundo semestre del año. A esta celebración, se une la designación del nuevo Supervisor Europeo de Protección de Datos (SEPD) y la aplicación del Reglamento 2018/1725, en relación a la supervisión de la Agencia de la Unión Europea para la Cooperación Judicial Penal (Eurojust). | |
Corresponsables del tratamiento: régimen jurídico y aplicación práctica Miguel Geijo Castany Director del departamento Mercantil en Broseta Abogados Análisis de las situaciones de corresponsabilidad entre responsables del tratamiento, los criterios para determinar su existencia y los acuerdos de delimitación de responsabilidades entre ellos. |
Derecho de supresión o derecho al olvido: sobre la extensión de la obligación del gestor de un motor de búsqueda cuando recibe una solicitud de retirada de enlaces Juan Luis de Diego Arias Profesor de Derecho Constitucional. UNED Petición de decisión prejudicial planteada por el Conseil d’État francés respecto a la interpretación de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Extensión del «derecho a la retirada de enlaces». «Bloqueo geográfico». |
¿Son legítimos los usos laborales de cámaras ocultas?: «no, pero sí; sí, pero no» Cristóbal Molina Navarrete Catedrático de Derecho del Trabajo y de la Seguridad Social Los tribunales laborales esperaban con interés la decisión definitiva del TEDH en el asunto López Ribalda. En su primera sentencia, el TEDH prohibió el uso laboral de cámaras ocultas. La Gran Sala, asume su legitimidad si media sospecha razonable objetivamente fundada de irregularidades graves. No es irrazonable tal decisión. No obstante, ni es la única solución que cabía adoptar ni es la más razonable, en términos de justo equilibrio (frente al modelo de auto-tutela del empleador, a modo de policía laboral de investigación, hubiera resultado coherente el modelo de autorización judicial). Nuevos vientos de favor hacia la seguridad soplan en el TEDH. |
CRÓNICA DE CORRESPONSALES |
ALEMANIA: El Modelo Standard de Protección de Datos (Standard Datenschutzmodell, SDM) de las Autoridades Alemanas de Protección de Datos (III) Ricardo Morte Ferrer Abogado, Consultor y Docente Protección de Datos La Conferencia de las Autoridades de Protección de Datos alemanas (Datenschutzkonferenz, DSK) recomienda desde noviembre de 2019 el SDM en su versión 2.0 (SDM-V2). De esta forma ha finalizado el desarrollo de un modelo estándar para la implantación, control y asesoría en materia de Protección que ha durado prácticamente diez años. A partir de este momento los responsables de tratamientos y oficiales de Protección de Datos que desarrollen las tareas antes mencionadas intentando cumplir las exigencias del Reglamento General de Protección de Datos (RGPD) sin ajustarse a una metodología reconocida deberán ser capaces de justificar el motivo de esa decisión. | |
REINO UNIDO: Reconocimiento facial en lugares públicos realizado por Fuerzas y Cuerpos de Seguridad en el marco de la prevención e investigación de delitos. La visión del ICO Laura Aliaga Martínez Abogada. Investigadora en el Cloud Legal Project, Microsoft Cloud Computing Research Centre, Queen Mary University of London. Estrella Gutiérrez David(*) Profesora de Derecho Administrativo de la Universidad Rey Juan Carlos. El despliegue de tecnología de reconocimiento facial en vivo con fines policiales implica un tratamiento sensible de datos personales biométricos. A partir de la reciente investigación realizada por el ICO en el Reino Unido sobre el uso esta tecnología en el ámbito policial, se han tratado de (i) identificar los principales escenarios de riesgo y áreas de incumplimiento normativos más frecuentes; (ii) sistematizar las recomendaciones más relevantes realizadas por la autoridad inglesa, que podrían resultar más pertinentes para países que, como España, aún no han transpuesto la Directiva (UE) 2016/680, y que, sin embargo, están ya utilizando esta tecnología con los fines previstos en esta Directiva. |
CANADÁ: Una breve aproximación a la regulación canadiense del derecho a la protección de datos personales José M.ª Pérez Gómez Letrado de la Administración de la Seguridad Social Este trabajo realiza una aproximación a la regulación canadiense del derecho a la protección de datos, partiendo de su configuración como un derecho humano encuadrado en el más amplio derecho de la intimidad y de la doctrina del Tribunal supremo canadiense que lo interpreta, se realiza luego un repaso por las principales normas federales, provinciales y sectoriales que regulan la materia intentando establecer el orden de fuentes aplicable a la materia. |
ESTADOS UNIDOS: Nueva ley de protección de datos en California: ¿en la senda del RGPD? Alejandro Padín Vidal Abogado, socio de Garrigues La nueva Ley de Privacidad de los Consumidores de California (CCPA) ha entrado en vigor el 1 de enero de 2020 y constituye un hito legislativo de enorme importancia, puesto que entra a regular de forma detallada diversos aspectos del tratamiento de datos personales por parte de operadores económicos, tanto si actúan como responsables del tratamiento como en su condición de encargados. Esta norma ha supuesto un enorme impacto para los operadores económicos de California, pero especialmente para aquellos cuyo modelo de negocio se basa en el tratamiento de datos o en la monetización de los datos personales. |
MÉXICO: La aplicación extraterritorial del RGPD Héctor E. Guzmán Rodríguez Socio y director del área de Protección de Datos Personales y Privacidad de BGBG Abogados La aplicación extraterritorial del Reglamento General de Protección de Datos de la Unión Europea (RGPD) supone uno de los hitos internacionales más recientes en materia de protección de datos. Más allá del análisis jurídico sobre su ejecución efectiva fuera de la Unión Europea, la exigencia de su cumplimiento que de facto ocurre por parte de empresas europeas que se relacionan con responsables y encargados no-europeos, obliga a conocer cuáles son los supuestos que activan su aplicación y cuáles son las obligaciones que éstos deberán cumplir. Nuestra experiencia profesional asesorando a empresas mexicanas a quienes resulta aplicable el RGPD sirve de base para la presentación de este artículo. |
PANAMÁ frente al desarrollo reglamentario de la Ley 81 de 2019 María Arias Pou Doctora en Derecho. Abogado Panamá asume el reto de tener normativa propia en materia de protección de datos. El pasado mes de marzo, se aprobaba, después de una larga tramitación, la Ley 81 de 2019. A partir de este momento y con una vacatio legis de dos años, Panamá y su entidad de control la Autoridad Nacional de Transparencia y Acceso a la Información, asumen el desarrollo reglamentario de la Ley que le permitirá estar preparada en marzo de 2021 para entrar en aplicación. |
ACTUALIDAD PROFESIONAL |
¿Dónde va la certificación profesional en privacidad? Carme Sánchez Ors Vicepresidenta 2ª Asociación Profesional Española de Privacidad (APEP) Después de algunos años certificando profesionales de la privacidad desde APEP nos preguntamos hacia dónde va la certificación profesional. La aparición de la figura del DPD y del esquema de certificación de la AEPD no ha servido de incentivo para la obtención de la certificación profesional más que un pequeño número de profesionales. Se presenta el modelo de APEP que pretende solucionar algunos problemas relacionados con la formación y el trabajo. | |
Auditoría de Protección de Datos. Y ahora, ¿qué? Maica Aguilar Carneros CISA, CISM, CDPP, CCSP María Jesús Morena Oronoz Data Protection Office. Principal Manager en BBVA Esmeralda Saracibar Socia de Privacy, Risk & Compliance en ECIX GROUP La reforma de la regulación de protección de datos supone un cambio de modelo tradicional a un modelo más dinámico en la forma de gestionar el cumplimiento en línea con la transformación tecnológica que se está produciendo en el ámbito de la protección de datos. La obligación «proactiva» del cumplimiento de la norma requiere la implantación de medidas técnicas y organizativas que sean apropiadas, y dichas medidas, además, deben ser revisadas y actualizadas cuando sea necesario. A diferencia de la normativa anterior, la nueva regulación, no contempla, en su articulado, una obligación explícita de realización de auditorías de cumplimiento de la normativa de protección de datos. En este contexto, surge la iniciativa por parte de la Comunidad de Delegados de Protección de Datos dependiente del ISMS de elaborar y publicar una Guía de buenas prácticas en procesos de Auditoría del RGPD. |
__________________________________________________ |
|
DIARIO LA LEY, 9569, de 7 de febrero |
|
TRIBUNA |
Los problemas de ser fiador de un deudor hipotecario: estado de la cuestión tras la ley de contratos de crédito inmobiliario M.ª José Achón Bruñén Doctora en Derecho Procesal En el presente artículo, con base en un detenido análisis de las resoluciones dictadas por nuestros tribunales, se solventan las cuestiones prácticas más conflictivas que afectan al fiador de un deudor hipotecario, se analizan los derechos que le brinda la nueva LCCI, sus medios de oposición, las cláusulas abusivas que puede impugnar y, en caso de pagar o sufrir el apremio de sus bienes, las acciones que ostenta frente al deudor y los cofiadores y los problemas que surgen en el ejercicio de las mismas. | |
TRIBUNA |
A vueltas con la impugnacion de la sentencia prevista en el artículo 461 LEC Ignacio Lopez Chocarro Procurador de los Tribunales Sobre el trámite de “impugnación de la sentencia” previsto en el art. 461 de la LEC, suele ser habitual que se planteen algunas dudas sobre la legitimación para impugnar (el “quien”) y los motivos sobre los que puede versar la misma (el “qué”). Analiza el autor los supuestos más habituales, en los que siguen existiendo dudas, como las que por ejemplo han obligado recientemente a la Sala 1ª del Tribunal Supremo a tener que pronunciarse mediante su Sentencia de 16 de octubre de 2019 sobre lo que puede ser objeto de impugnación, rectificando el criterio de una importante Audiencia Provincial. Dicha sentencia define claramente el contenido y alcance del trámite de impugnación. | |
LA SENTENCIA DEL DÍA |
El consentimiento de la víctima no atenúa la pena del agresor que incumple la prohibición de acercamiento El cumplimiento de una pena o medida cautelar impuesta por un Tribunal como consecuencia de la comisión de un delito público no puede quedar al arbitrio del condenado o de la víctima, ni siquiera en los casos en los que las mismas se orienten a la protección de aquella. | |
JURISPRUDENCIA |
La aseguradora del vehículo siniestrado debe indemnizar a sus ocupantes con independencia de la falta de culpa del conductor En el ámbito del seguro obligatorio, tratándose de daños personales, rige un sistema de responsabilidad objetiva que dimana del simple hecho de generar un riesgo para la circulación. | |
Es obligada la doble presentación de escritos, vía telemática y en papel en los Juzgados, hasta el pase al sistema de RED TELEMÁTICA El Alto Tribunal da respuesta a la cuestión que presenta interés casacional objetivo para la formación de jurisprudencia, relacionada con el alcance y efectos de la presentación telemática, sin ulterior presentación en papel ante Decanato o servicios comunes procesales del poder de representación procesal, notarial o apud acta en los Juzgados de Cataluña cuya gestión procesal se sigue realizando por el sistema TEMIS2. | |
Condenado por propinar un bofetón a su hija menor de 7 años La actuación del acusado excede de su deber de corrección sobre la menor. Se presenta como difícil que no sepa distinguir entre una mera reprimenda y una bofetada que deja los dedos marcados en la cara. |
Rectificación de doctrina del TS: derecho de los fijos discontinuos de la AEAT al cómputo de la antigüedad desde el inicio de la relación laboral La interpretación contraria supone una diferencia de trato peyorativa que afecta al personal a tiempo parcial -fijos discontinuos- en comparación con el que presta servicios a tiempo completo y, además, una discriminación indirecta para las trabajadoras, dado el alto porcentaje de mujeres que prestan sus servicios en la AEAT. | |
No hay comentarios:
Publicar un comentario