Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales

LEY ORGÁNICA DE PROTECCIÓN DE DATOS Y GARANTÍA DE LOS DERECHOS DIGITALES

El pasado 6 de diciembre se publicó en el BOE la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDyGDD), entrando en vigor al día siguiente.

Las principales novedades son las siguientes:

 Ámbito de aplicación.

Incluye un apartado específico relativo al tratamiento de los datos de personas fallecidas:

Podrán acceder a los datos personales de personas fallecidas:

  • Las personas vinculadas al fallecido por razones familiares o de hecho.
  • Las personas declaradas como herederos.
  • Las personas o instituciones a las que el fallecido hubiese designado expresamente con arreglo a instrucciones recibidas.

Estas personas o instituciones podrán ejercer el derecho de acceso a los datos personales del fallecido y, en su caso, podrán solicitar su rectificación o supresión, salvo que conste que la persona fallecida lo hubiese prohibido, expresamente, o así lo establezca una ley. Dicha prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante.

Principios de protección de datos.

La LOPDyGDD no menciona todos los principios enumerados en el Capítulo II del RGPD, sino que se limita a hacer referencias o comentarios a los siguientes principios u obligaciones:

  • Principio de exactitud de los datos: se presumirán exactos y actualizados los datos obtenidos directamente del afectado.
  • Deber de confidencialidad: la obligación general de confidencialidad será complementaria de los deberes de secreto profesional regulados.
  • Tratamiento basado en el consentimiento del afectado: cuando se pretenda una pluralidad de finalidades de tratamiento será preciso que conste de manera individual que dicho consentimiento se otorga para todas y cada una de ellas y no podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual principal.
  • Consentimiento de los menores de edad: se establece la edad mínima para dar el consentimiento al tratamiento de datos en 14 años (el RGPD permitía rebajar esa edad a 13 años).
  • Tratamiento de datos de naturaleza penal: los datos personales relativos a condenas e infracciones penales, procedimientos, medidas cautelares y de seguridad conexas, para fines distintos de los de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, sólo podrá llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unión, en esta ley orgánica o en otras normas de rango legal.

Transparencia e información.

La LOPDyGDD establece la modalidad de “información por capas” que la AEPD adelantó en su Guía para el cumplimiento del Deber de Informar.

Así, el responsable del tratamiento podrá dar cumplimiento al deber de información facilitando al afectado determinada información básica e indicándole una dirección electrónica u otro medio que le permita acceder de forma sencilla e inmediata a la restante información.

Ejercicio de derechos.

La LOPDyGDD establece una serie de condiciones generales sobre el ejercicio de los derechos (no previstas en el RGPD), de las cuales ofrecemos las que afectarían en mayor medida a todas las organizaciones:

  • Se ha de informar al afectado sobre los medios a su disposición para ejercer los derechos. Estos medios serán fácilmente accesibles, pero si el afectado opta por otro medio diferente no será causa de denegación.  
  • La atención de estas solicitudes será gratuita, salvo en determinados casos previstos.

Por otro lado, la LOPDyGDD mantiene los mismos derechos enumerados y reconocidos por el RGPD de los que es interesante hacer ciertas puntualizaciones:

  • Derecho de rectificación: se puntualiza que el afectado deberá indicar en su solicitud a qué datos se refiere y la corrección que haya de realizarse y que habrá de acompañar la solicitud de la documentación justificativa de la inexactitud o carácter incompleto de los datos afectados.
  • Derecho de supresión (“derecho al olvido”): cuando la supresión derive del ejercicio del derecho de oposición al tratamiento con fines comerciales, el responsable podrá conservar los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa. Sería equivalente a crear una “Lista Robinson” propia.
  • Derecho a la limitación del tratamiento: el hecho de que el tratamiento de los datos personales esté limitado debe constar, claramente, en los sistemas de información del responsable.

 Disposiciones aplicables a tratamientos concretos.

Título importante pues se incluye la regulación de tratamientos concretos que fueron examinados de forma independiente por la Autoridad de Control (AEPD) en otro tipo de documentos como Instrucciones, Guías, Informes o estaban regulados en la LOPD 15/1999 o su Reglamento de Desarrollo.  

Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales.

El tratamiento de los datos de contacto y, en su caso, los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica se presumirá amparado en la base de la satisfacción de intereses legítimos, siempre que se cumplan los siguientes requisitos:

  • Que el tratamiento se refiera, únicamente, a los datos necesarios para su localización profesional.
  • Que la finalidad del tratamiento sea, únicamente, mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.

El tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales se presumirá amparado, igualmente, en la base de la satisfacción de intereses legítimos, siempre que se cumplan los siguientes requisitos:

  • Que se refieran a ellos, únicamente, en dicha condición;
  • Que no se traten para entablar una relación con los mismos como personas físicas.

Sistemas de información crediticia.

Se podrán tratar datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas de información crediticia cuando se cumplan una serie de requisitos.

Las entidades que mantengan el sistema y las acreedoras, respecto del tratamiento de los datos referidos a sus deudores, tendrán la condición de corresponsables del tratamiento de los datos. Corresponderá al acreedor garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda, respondiendo de su inexistencia o inexactitud.

No se incorporarán a los sistemas de información crediticia orgánica deudas en que la cuantía del principal sea inferior a cincuenta euros.

Tratamientos relacionados con la realización de determinadas operaciones mercantiles.

Se presumirán lícitos los tratamientos de datos, incluida su comunicación con carácter previo, derivados del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios.

En el caso de que la operación no se concluyese, la entidad cesionaria deberá proceder a la supresión de los datos, sin ser necesario el bloqueo.

Tratamientos con fines de videovigilancia.

En general no hay modificaciones respecto de la Instrucción 1/2005 de la AEPD que lo regulaba si bien incluye que las grabaciones serán suprimidas en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones.

En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de 72 horas desde que se tuviera conocimiento de la existencia de la grabación. No será de aplicación a estos tratamientos la obligación de bloqueo.

Sistemas de exclusión publicitaria.

Las “Listas Robinson”: será lícito el tratamiento de datos personales que tenga por objeto evitar el envío de comunicaciones comerciales a quienes hubiesen manifestado su negativa u oposición a recibirlas, para lo cual podrán crearse sistemas de información, generales o sectoriales, con las siguientes características y condiciones:

  • Sólo se incluirán los datos imprescindibles para identificar a los afectados.
  • Podrán incluir servicios de preferencia (el afectado podrá limitar la recepción de comunicaciones comerciales a las procedentes de determinadas empresas).
  • Las entidades responsables comunicarán a la autoridad de control su creación, su carácter general o sectorial, así como el modo en que los afectados pueden incorporarse a los mismos y, en su caso, hacer valer sus preferencias.

¿Cómo habrá que actuar?

  • Se informará al afectado de los sistemas de exclusión publicitaria existentes.
  • Antes de realizar envíos comerciales, se consultarán estos sistemas para excluir a los interesados que hubieran manifestado su oposición o negativa.
  • No será necesario realizar esta consulta cuando el afectado hubiera prestado su consentimiento para recibir la comunicación a quien pretenda realizarla.

Sistemas de información de denuncias internas.

Respecto de los llamados “Canales de Denuncia” se tendrán que cumplir los siguientes requisitos:

  • Los empleados y terceros deben ser informados acerca de su existencia.
  • Se permite que las comunicaciones sean anónimas.
  • La información deberá conservarse durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.
  • Si no procede la investigación, se suprimirán pasados 3 meses desde su introducción en el sistema.
  • Las denuncias a las que no se haya dado curso podrán conservarse de forma indefinida de forma anonimizada, para dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos, sin que sea obligatorio el bloqueo.
  • Transcurrido el plazo de 3 meses, los datos podrán seguir siendo tratados por el órgano al que corresponda la investigación de los hechos denunciados, pero fuera del propio sistema de información de denuncias internas.

Registro de las actividades de tratamiento.

Tan sólo se realizan las siguientes puntualizaciones:

  • Cuando se hubiera designado un delegado de protección de datos (DPD), se le deberá comunicar cualquier adición, modificación o exclusión en el contenido del registro.
  • Los sujetos enumerados en el art. 77.1 de la LOPDyGDD harán público su registro de actividades de tratamiento, siendo accesible por medios electrónicos.

Bloqueo de los datos.

La LOPDyGDD desarrolla el Bloqueo de los datos, como medio para limitar el tratamiento de los datos cuando un interesado solicite su rectificación o supresión, imponiendo las siguientes condiciones:

  • Se identificarán los datos a bloquear, adoptando medidas técnicas y organizativas para impedir su tratamiento posterior, incluyendo su visualización.
  • Se exceptúan los datos susceptibles de puesta a disposición de jueces y tribunales, Ministerio Fiscal o AAPP competentes, en particular, de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y sólo por el plazo de prescripción de las mismas. Transcurrido ese plazo se destruirán de los datos.
  • Si el sistema de información no permite el bloqueo o requiere un esfuerzo desproporcionado, se podrá realizar una copia de la información, siempre que conste evidencia digital o de otra naturaleza que permita acreditar la autenticidad de esta, la fecha del bloqueo y la no manipulación de los datos.

Delegado de protección de datos

La LOPDyGDD ofrece un listado de entidades concretas que tendrán que designar, obligatoriamente DPD, entre los cuales se incluye:

  • Colegios profesionales y sus consejos generales;
  • Centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas;
  • Entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala;
  • Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio;
  • Entidades incluidas en el art. 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito;
  • Establecimientos financieros de crédito;
  • Entidades aseguradoras y reaseguradoras;
  • Empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores;
  • Distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural;
  • Entidades responsables de ficheros de evaluación de la solvencia patrimonial y crédito o de los ficheros para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo;
  • Entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos;
  • Centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes;
  • Entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas;
  • Operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego;
  • Empresas de seguridad privada;
  • Federaciones deportivas cuando traten datos de menores de edad.

Además, desarrolla los siguientes puntos:

  • Se habrán de comunicar en el plazo de diez días a la AEPD o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los DPD.
  • Se podrá determinar la dedicación completa o a tiempo parcial del DPD, entre otros criterios, en función del volumen de los tratamientos, la categoría especial de los datos tratados o de los riesgos para los derechos o libertades de los interesados.
  • La cualificación requerida para ser nombrado DPD podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación que podrán tener en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en derecho y práctica en materia de protección de datos.
  • Antes de presentar una reclamación ante la AEPD ante las autoridades autonómicas, el afectado podrá dirigirse al DPD de la entidad contra la que pretenda reclamar. En este caso, el DPD comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación.
  • Cuando el afectado presente una reclamación ante la AEPD o ante las autoridades autonómicas de protección de datos, aquéllas podrán remitir la reclamación al DPD para que éste responda en el plazo de un mes. Si transcurrido dicho plazo el DPD no hubiera trasmitido la respuesta dada a la reclamación, dicha autoridad continuará el procedimiento sancionador.

Régimen sancionador.

La AEPD, a pesar de los dos tramos establecidos por el RGPD, mantiene la distinción entre Infracciones Leves, Graves y Muy Graves.  

Las Infracciones Muy Graves serían las correspondientes al artículo 83.5 del RGPD, sancionables con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

Por su parte, las Infracciones Graves y Leves serían las correspondientes al artículo 83.3 y 4 del RGPD sancionables con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

 Garantía de los derechos digitales.

La LOPDyGDD incorpora un nuevo título derivado del auge de la sociedad digital. Se han incluido temas que no guardan relación alguna con la materia de protección de datos, pero otras que sí resultan de gran interés:

Protección de los menores en Internet.

El Ministerio Fiscal podrá establecer medidas de protección al menor si detecta que la utilización, difusión de imágenes o información personal de menores en redes sociales y otros servicios de la sociedad de la información puedan suponer una intromisión ilegítima en sus derechos fundamentales.

Derecho de rectificación en Internet y actualización de informaciones en medios de comunicación digitales.

Estos medios tienen derecho a la libertad de expresión en Internet, no obstante, se aplicarán unas garantías:

  • Los responsables de redes sociales y servicios equivalentes adoptarán protocolos para posibilitar el ejercicio del derecho de rectificación ante los usuarios que difundan contenidos que atenten contra los derechos al honor, la intimidad personal y familiar en Internet y a comunicar o recibir libremente información veraz.
  • Cuando los medios de comunicación digitales deban atender la solicitud de rectificación formulada contra ellos procederán a la publicación en sus archivos digitales de un aviso aclaratorio y en lugar visible junto a la información original, poniendo de manifiesto que la noticia original no refleja la situación actual del individuo.
  • Toda persona tiene derecho a solicitar de los medios de comunicación digitales la inclusión de un aviso de actualización visible junto a las noticias que le conciernan cuando la información contenida en la noticia original no refleje su situación actual como consecuencia de circunstancias que hubieran tenido lugar después de la publicación, causándole un perjuicio.

Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.

Los trabajadores y los empleados públicos tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador, debiendo el mismo:

  • Acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos.
  • Establecer, con participación de los representantes de los trabajadores, criterios de utilización de los dispositivos digitales respetando los estándares mínimos de protección de su intimidad, de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente.
  • Especificar los usos autorizados, estableciendo garantías para preservar la intimidad de los trabajadores cuando se trate de dispositivos digitales respecto de los que se haya admitido su uso con fines privados.
  • Informar a los trabajadores de los criterios de utilización mencionados.

Derecho a la desconexión digital en el ámbito laboral.

Los trabajadores y los empleados públicos tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar para el fomento de la conciliación de la actividad laboral y la vida personal y familiar.

Se cumplirán los siguientes requisitos:

  • Las condiciones se establecerán en función de la naturaleza y objeto de la relación laboral y se sujetarán a lo establecido en la negociación colectiva o, en su defecto, a lo acordado entre empresa y representantes de los trabajadores.
  • El empleador, previa audiencia de los representantes de los trabajadores, elaborará una política interna en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática.

Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.

Los empleadores podrán tratar las imágenes obtenidas a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de los trabajadores o los empleados públicos previstas, respectivamente, en el artículo 20.3 del Estatuto de los Trabajadores y en la legislación de función pública con las siguientes condiciones:

  • Se informará con carácter previo y de forma expresa, clara y concisa, a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de esta medida.
  • Si se ha captado la comisión flagrante de un acto ilícito por los trabajadores o los empleados públicos se entenderá cumplido el deber de informar cuando existiese al menos un cartel informativo.
  • NO se admite la instalación de sistemas de grabación de sonidos ni de videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores o los empleados públicos, tales como vestuarios, aseos, comedores y análogos.
  • El uso de estos sistemas o similares se admitirá únicamente cuando resulten relevantes los riesgos para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo, pero respetando el principio de proporcionalidad e intervención mínima.
  • Los sonidos conservados por estos sistemas de grabación serán suprimidos en el plazo máximo de un mes desde su captación.

Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.

Los empleadores podrán tratar los datos obtenidos a través de sistemas de geolocalización para el ejercicio de las funciones de control de los trabajadores o los empleados públicos previstas, respectivamente, en el artículo 20.3 del Estatuto de los Trabajadores y en la legislación de función pública, con las siguientes condiciones:

  • Se habrá de informar con carácter previo y de forma expresa, clara e inequívoca a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de la existencia y características de estos dispositivos;
  • Se les habrá de informar igualmente acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.

Protección de datos de los menores en Internet.

  • Los centros educativos y cualesquiera personas físicas o jurídicas que desarrollen actividades en las que participen menores de edad garantizarán la protección del interés superior del menor y sus derechos fundamentales, especialmente el derecho a la protección de datos personales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información.
  • Cuando dicha publicación o difusión fuera a tener lugar a través de servicios de redes sociales o equivalentes deberán contar con el consentimiento del menor o sus representantes legales.

Derecho al olvido en búsquedas de Internet y servicios de redes sociales y servicios equivalentes.

Toda persona tiene derecho a:

  • Que los motores de búsqueda en Internet eliminen de las listas de resultados que se obtuvieran tras una búsqueda efectuada a partir de su nombre los enlaces publicados que contuvieran información relativa a esa persona.
  • Que sean suprimidos, a su simple solicitud, los datos personales que hubiese facilitado por sí mismo o por terceros para su publicación por servicios de redes sociales y servicios de la sociedad de la información equivalentes.

Se podrá realizar esta solicitud cuando:

  • Los datos sean inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información.
  • Las circunstancias personales que invocase el afectado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de esos datos o enlaces.

Este derecho subsistirá aun cuando fuera lícita la conservación de la información publicada en el sitio web al que se dirigiera el enlace y no se procediese por la misma a su borrado previo o simultáneo.

El ejercicio de este derecho no impedirá el acceso a la información publicada en el sitio web a través de la utilización de otros criterios de búsqueda distintos del nombre de quien ejercitara el derecho.

En caso de que el derecho se ejercitase por un afectado respecto de datos que hubiesen sido facilitados al servicio, por él o por terceros, durante su minoría de edad, el prestador deberá proceder sin dilación a su supresión por su simple solicitud, sin necesidad de que concurran las circunstancias mencionadas.

Derecho al testamento digital.

Se regula el “testamento digital” como el acceso a contenidos gestionados por prestadores de servicios de la sociedad de la información sobre personas fallecidas con las siguientes reglas:

  • Las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos podrán dirigirse a los prestadores de servicios de la sociedad de la información al objeto de acceder a dichos contenidos e impartirles las instrucciones que estimen oportunas sobre su utilización, destino o supresión.
  • El albacea testamentario, así como aquella persona o institución a la que el fallecido hubiese designado expresamente para ello también podrá solicitar, con arreglo a las instrucciones recibidas, el acceso a los contenidos con vistas a dar cumplimiento a tales instrucciones.
  • Las personas legitimadas podrán decidir acerca del mantenimiento o eliminación de perfiles personales de personas fallecidas en redes sociales o servicios equivalentes, salvo que el fallecido hubiera decidido acerca de esta circunstancia, en cuyo caso se estará a sus instrucciones.
  • El responsable del servicio al que se le comunique la solicitud de eliminación del perfil deberá proceder sin dilación a la misma.

Disposiciones adicionales, transitorias y finales.

A continuación, se mencionan ciertas Disposiciones de interés.

Disposición adicional primera. Medidas de seguridad en el ámbito del sector público.

El Esquema Nacional de Seguridad (ENS) incluirá las medidas que deban implantarse en caso de tratamiento de datos personales, para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el art. 32 del RGPD sobre medidas de seguridad del tratamiento.

Los responsables enumerados en el art. 77.1 de la LOPD y GDD deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el ENS, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.

En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al ENS.

Disposición transitoria quinta. Contratos de encargado del tratamiento.

Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la LOPD mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.

Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del RGPD y en el Capítulo II del Título V de la LOPDyGDD.

Los canales de denuncias internas en la nueva LOPD

La nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD y GDD), publicada en el BOE del 7 de diciembre, incorpora un Título dedicado a la regulación de tratamientos concretos, entre los cuales se encuentran los “canales de denuncias”.

En 2007, la AEPD emitió un Informe en el que estimaba que en dichos canales la denuncias no podrían anónimas, que debían incluir los datos del denunciante si bien no podrían ser comunicados al denunciado, salvo supuestos tasados (vr. Informe 0128/2007).  

Al no ser una práctica extendida en España, más allá de las empresas relacionadas con el mundo anglosajón en el que estos mecanismos de “whistleblowing” sí que estaban desarrollados, este Informe de la AEPD no tuvo demasiada repercusión.

No obstante, este criterio de la AEPD fue revisado con motivo de la modificación del Código Penal de 2015 por la que se establece la responsabilidad penal de las personas jurídicas. En su art.31 Bis se contempla la exención de responsabilidad si la organización cumple una serie de requisitos, entre los que se encuentra la adopción de un modelo de prevención de delitos.

Este modelo, entre otras características, habrá de imponer la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención, es decir, ha de establecer un canal de denuncias. La no aceptación de denuncias por el hecho de ser anónimas podía poner en serio riesgo a las organizaciones que no investigaran hechos de gravedad por este motivo.

Pudieron ser estos los motivos que condujeron a la AEPD a modificar su criterio acerca de los canales de denuncia, lo que se ha plasmado finalmente en el artículo 29 de la LOPD y GDD, que establece que será lícita la creación y mantenimiento de sistemas de información para comunicar la comisión en el seno de la misma o en la actuación de terceros relacionados, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable.

Estos sistemas tendrán que cumplir los siguientes requisitos:

  • Los empleados y terceros deben ser informados acerca de su existencia;
  • Se permite que las comunicaciones sean anónimas;
  • La información deberá conservarse durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados;
  • Si no procede la investigación, se habrán de suprimir pasados 3 meses desde su introducción en el sistema;
  • Las denuncias a las que no se haya dado curso podrán conservarse de forma indefinida de forma anonimizada, para dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos, sin que sea obligatorio el bloqueo;
  • Transcurrido el plazo de 3 meses, los datos podrán seguir siendo tratados por el órgano al que corresponda la investigación de los hechos denunciados, pero fuera del propio sistema de información de denuncias internas.

De esta manera, los canales de denuncia quedan amparados y regulados tanto por la normativa penal como por la de protección de datos, pudiendo ser así una herramienta real de comunicación, accesible a todos los empleados, clientes, proveedores y otros terceros, por el que denunciar irregularidades, incumplimientos o comportamientos contrarios a la ética y la legalidad.

Recomendaciones AEPD sobre Políticas de Privacidad

1-Identidad del Responsable:

  • Incluir esta información al principio
  • Facilitar correo o formulario electrónicos por tratarse de entorno online.DPD:
  • Facilitar correo o formulario electrónicos por tratarse de entorno online.
  • Unificar terminología (DPO, DPD, Delegado de Protección de datos…)

2-Finalidades y base de legitimación:

  • Agrupar finalidades por categorías. Por ejemplo, se recomienda por base jurídica de tratamiento.
  • Tratamiento de datos con fines de mercadotécnica, publicidad o comunicaciones comerciales:

-A través de medios electrónicos: antes de acudir al interés legítimo (considerando 47 RGPD), hay que tener en cuenta el Art. 21 LIS, que requiere que hayan sido autorizadas o solicitadas expresamente por los destinatarios, o bien, se cumpla con los siguientes requisitos: relación contractual previa, datos obtenidos de forma lícita y productos/servicios ofrecidos similares a los que fueron objeto de contratación previamente y de la propia empresa. 

-Si se realiza a través de otros medios, no aplica el Art. 21 LIS, pero es necesario que se trate de productos similares a los ya contratados y propios de la empresa.

3-Aplicación del interés legítimo: no basta la referencia a “interés legítimo” ni fórmulas como “conocerte mejor”. Es deseable que se documente la ponderación realizada entre este interés del responsable y el derecho de los usuarios a la protección de sus datos personales.

4-Destinatarios:

  • Agrupar por categorías de destinatarios.
  • Si no se ceden datos, también se tiene que informar

5-Transferencias Internacionales: no basta con informar, tiene que decirse si existe una decisión de adecuación al respecto de la Comisión y en caso contrario, mencionar las garantías (no utilizar formulas genéricas como “garantías adecuadas”, hay que decir una enumeración sin entrar en detalles) y el procedimiento para obtener una copia de esta o de que se prestaron y evitar que no sea extenso.

6-Plazo de Conservación:

  • No sirve “mientras exista un interés mutuo”. Si no se puede determinar, hay que ofrecer criterios que permitan calcula una aproximación
  • Ejemplo de buena práctica: conservar datos una vez finalice el compromiso de compra y la posibilidad de reclamación

7-Derechos de los Interesados:

  • Recomendable que la información sobre derechos se recoja en apartado separado y se informe del procedimiento de su ejercicio y modo de contacto (mejor mediante e-mail o formulario habilitado). Ejemplo: “Puede ejercitar sus derechos de acceso, rectificación, supresión y portabilidad de datos, de limitación y oposición a su tratamiento, así como a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, cuando procedan, ante XXX, con domicilio en XXX, o en la dirección de correo electrónico XXX”
  • En caso de ejercicio de derechos por medios electrónicos: se recomienda implantar mecanismos que permitan acreditar la identidad del interesado, así como la recepción y respuesta dada.

8-Reclamación de Autoridad de Control: informar y facilitar enlace

9-Decisiones Automatizadas: no es suficiente con informar que estos se realicen perfiles, tiene que decirse la lógica aplicada para ello, la importancia de esta actividad para el interesado y las consecuencias que podrían darse para él. Se recomienda evitar fórmulas como “se recogen datos para personalizar tu experiencia” o “para conocerte mejor”.

10-Tratamiento basado en el Consentimiento Informado:

  • Requisitos de validez del consentimiento: informar de la identidad del responsable, finalidades para las que se solicita, tipo de datos, dº revocación, información sobre el uso de datos para decisiones automatizadas cuando sea pertinente e información sobre posibles riesgos de transferencias por falta de decisión de adecuación o garantías adecuadas.
  • Tipo de datos: se recomienda informar en el mismo formulario en el que se recoge la solicitud del consentimiento, aunque sea resumido. Si se recoge en otro doc. aparte, es importante que se diga qué datos derivan de la obtención del consentimiento.
  • Finalidades para el consentimiento: se recomienda incluir en el mismo formulario de obtención del consentimiento, aunque luego se detalle en privacidad.
  • Se recomienda utilizar la fórmula “revocar la autorización que dio” o “derecho a oponerse” a determinados fines del tratamiento. Es una buena práctica que se informe en el mismo formulario de solicitud de consentimiento.
  • Solicitud para cada finalidad: no solicitarlo en bloque, aunque se recomienda agrupar para que sea más comprensible
  • Tiene que ser acto afirmativo claro, sin casillas premarcadas tácito, se recomienda buena práctica informar que tiene que leer y comprender el aviso legal y política de privacidad, así como recordarle al usuario la elección de permisos y solicitar confirmación del consentimiento (solicitar una segunda confirmación del consentimiento, al igual que se hace para la baja en lagunas ocasiones)
  • Se recomienda que se emplee letra negrita o grande para la solicitud del consentimiento en lugar de que sea más pequeña o cursiva
  • No se considera suficiente obtener el consentimiento del usuario mediante un botón con una leyenda genérica “he leído y acepto las condiciones de la política de privacidad”, pues tiene que distinguirse obtención del consentimiento del resto de la relación. Se recomienda que la solicitud del consentimiento

11-DPD: Se recomienda unificar denominación, valorar nombramiento, aunque no sea obligatorio, incluir sus datos al inicio de la política, en apartado específico, fácilmente accesible, preferiblemente en el apartado de contacto con la empresa o en la sección dedicada a atención al cliente. Por tratarse de entorno online se recomienda email o formulario electrónico. Se considera buena práctica explicar sus funciones y cómo puede ayudar al interesado en la Política de Privacidad.

Aprobación en el Congreso del Proyecto de Ley Orgánica De Protección de Datos Personales y Garantía de los Derechos Digitales

El Pleno del Congreso de los Diputados aprobó por unanimidad el pasado 18 de octubre el Proyecto de Ley Orgánica De Protección de Datos Personales y Garantía de los Derechos Digitales, pasando al Senado para su tramitación.

El texto aprobado incluye un nuevo Título X* que, según su Exposición de Motivos,  “acomete la tarea de reconocer y garantizar un elenco de derechos digitales de los ciudadanos conforme al mandato establecido en la Constitución. En particular, son objeto de regulación los derechos y libertades predicables al entorno de Internet como la neutralidad de la Red y el acceso universal o los derechos a la seguridad y educación digital así como los derechos al olvido, a la portabilidad y al testamento digital. Ocupa un lugar relevante el reconocimiento del derecho a la desconexión digital en el marco del derecho a la intimidad en el uso de dispositivos digitales en el ámbito laboral y la protección de los menores en Internet. Finalmente, resulta destacable la garantía de la libertad de expresión y el derecho a la aclaración de informaciones en medios de comunicación digitales”

Desde Helas Consultores, queremos manifestar nuestra adhesión a las principales demandas de las organizaciones empresariales y de consumidores que requieren la tramitación separada de una Ley de Derechos Digitales al margen de la Ley Orgánica de Protección de Datos y, en especial, prestar atención a que España no se exceda en regular aspectos no permitidos por el propio Reglamento General de Protección de Datos.

* Los nuevos derechos que incluye el Proyecto son los siguientes:

  • Artículo 80. Derecho a la neutralidad de Internet.
  • Artículo 81. Derecho de acceso universal a Internet.
  • Artículo 82. Derecho a la seguridad digital.
  • Artículo 83. Derecho a la educación digital.
  • Artículo 84. Protección de los menores en Internet.
  • Artículo 85. Derecho de rectificación en Internet.
  • Artículo 86. Derecho a la actualización de informaciones en medios de comunicación digitales.
  • Artículo 87. Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.
  • Artículo 88. Derecho a la desconexión digital en el ámbito laboral.
  • Artículo 89. Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.
  • Artículo 90. Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.
  • Artículo 91. Derechos digitales en la negociación colectiva.
  • Artículo 92. Protección de datos de los menores en Internet.
  • Artículo 93. Derecho al olvido en búsquedas de Internet.
  • Artículo 94. Derecho al olvido en servicios de redes sociales y servicios equivalentes.
  • Artículo 95. Derecho de portabilidad en servicios de redes sociales y servicios equivalentes.
  • Artículo 96. Derecho al testamento digital.
  • Artículo 97. Políticas de impulso de los derechos digitales

Una nueva forma de ver la protección de datos

El nuevo Reglamento Europeo cambia radicalmente el enfoque de la protección de datos que teníamos hasta el momento. A diferencia de los países de tradición anglosajona, en España cuesta asumir esta nueva forma de regulación que parte de la base de que el responsable debe aplicar las medidas oportunas y eficaces, y ha de poder demostrar la conformidad de las actividades de tratamiento con el Reglamento.

Ya no se determinan las medidas a aplicar como en la normativa anterior, sino que se deberán determinar teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas. Por este motivo será necesario realizar un análisis de riesgos previo.

El Sistema de Gestión de Protección de Datos se debe basar en los principios de protección de datos desde el diseño y por defecto. Esto implica que habrá que tener en consideración la privacidad de los interesados respecto de los cuales haya obtenido datos, durante toda “la vida del dato”, es decir, desde su obtención hasta su efectiva destrucción, pasando por todas las fases del tratamiento. El principal objetivo será garantizar que, por defecto, solo sean objeto de tratamiento los datos necesarios para cada uno de los fines específicos para los que fueron recabados.

La normativa recoge un tercer principio básico, el de responsabilidad proactiva: los responsables de tratamiento no tienen únicamente el deber de cumplir con la normativa, sino que además deben ser capaces de demostrarlo.

Si bien es cierto que esta nueva forma de regular nos da un margen mucho más amplio a la hora de determinar las medidas adecuadas para proteger los datos personales, también lo es que nos encontramos ante un escenario de mayor incertidumbre.

Un fallo obliga a suspender la firma digital de DNI: cómo saber si te afecta y qué hacer

La Policía ha desactivado la función de certificado digital de los DNI electrónicos que fueron expedidos desde abril desde 2015 para reforzar su seguridad, después de que un estudio de una universidad checa haya alertado de su posible vulnerabilidad. La desactivación es temporal, pero es la primera vez que se toma esta medida. ¿Cómo saber si te afecta y qué debes hacer si es así?
El posible fallo está siendo analizado por el Organismo de Certificación español, según informa la Dirección General de la Policía, que ha comenzado a modificar las funcionalidades de esos documentos para garantizar “la máxima seguridad y confidencialidad en la utilización de la autenticación y firma electrónica en España”.

¿Qué significa que la firma digital ha sido suspendida? Básicamente que no podrás realizar los trámites digitales que hacías hasta ahora para autorizar o firmar documentos de forma telemática. Ese DNI sigue siendo válido como método de identificación y como documento de viaje para viajar a los países de la UE.: nada cambia en ese frente. Pero si eres de los que por trabajo o cualquier otra actividad usabas con frecuencia las funciones de certificado digital, lo mejor será que lo renueves ahora mismo. Los nuevos DNI expedidos no tendrán el fallo de seguridad que presentan los expedidos a partir de abril de 2015.
Según la Policía, hasta que en “fechas próximas” no se implementen las soluciones técnicas necesarias, se desactivará la funcionalidad de los certificados digitales en los actuales DNIe. Cuando estén disponibles, serán los titulares quienes tengan que ir directamente a actualizarlos en las Oficinas de Documentación.

El problema de seguridad fue detectado recientemente y reside en un código usado para las claves de cifrado utilizado en muchos sistemas de certificación digital, como documentos de identificación nacional de múltiples países. Estonia avisó del riesgo el pasado septiembre cuando aseguró que 750.000 de sus DNI electrónicos podían ser vulnerables a ataques. El país cerró la base de datos de claves públicas del documento para evitar problemas. Ahora ha sido España la que ha tenido que tomar medidas.

El fallo podría, por ejemplo, permitir a ‘hackers’ robar la identidad de cualquier ciudadano con un DNI afectado, espiar los documentos que ha firmado con él o infectar con ‘malware’ software de idenficación y certificación digital. Ahora, de momento, y de forma temporal, el fallo está atajado en nuestro país. Está por ver si la medida se ha tomado demasiado tarde.

UBER despide a su jefe de seguridad, tras reconocer el robo de datos de 57 millones de clientes

En octubre del año pasado un grupo de hackers logró acceder a la información de más de 57 millones de clientes y conductores de Uber. Entre los datos obtenidos figuraban los correos electrónicos, los números de teléfonos, las direcciones postales o los números del carnet de conducir en el caso de los trabajadores del conocido servicio de transporte.

Hasta ayer, nadie supo de la existencia de este ataque y la razón es que Uber pagó para que no se conociera. En el punto de mira de las autoridades estadounidenses por varios escándalos relativos al uso de datos personales de sus clientes, los entonces responsables de la compañía -con su fundador, Travis Kalanick, al frente- prefirieron ceder a las demandas de los atacantes antes que añadir un grave incidente de seguridad a la negativa cobertura mediática que la compañía recibía ya esos días.

Uber pagó 100.000 dólares por el silencio y disfrazó la cantidad como una “recompensa” por descubrir un agujero de seguridad. Estas recompensas son habituales entre las grandes empresas tecnológicas. Funcionan como un incentivo para que los hackers comuniquen a las compañías los fallos de seguridad que han pasado desapercibidos en vez de venderlos al mejor postor en diferentes foros de seguridad. Las compañías pueden trabajar así en un parche que solucione el problema antes de hacerlo público.

Uber, en cualquier caso, no contaba con uno de estos programas de recompensas en el momento del ataque y a pesar de que está obligada a publicar vulnerabilidades de seguridad ante los organismos estadounidenses de protección de datos, jamás reportó el suceso. Los hackers consiguieron acceso a los datos gracias a un despiste de los ingenieros de la compañía, que dejaron las credenciales de acceso a sus bases de datos -alojadas en la infraestructura de Amazon Web Services- en el código fuente de la aplicación.

Los atacantes sólo tuvieron que ingeniárselas para entrar en el repositorio de este código, alojado en el popular servicio GitHub y usar esas credenciales para acceder a los datos. Uber asegura que los números de tarjetas de crédito o los datos de los viajes realizados por los clientes no se han visto afectados.
El fallo le ha costado el puesto al responsable de seguridad de al compañía, Joe Sullivan, que se unió a Uber en el año 2015. Su gestión ha estado plagada de errores y decisiones polémicas que han afectado de forma severa a la imagen pública de la compañía y que desde el mes pasado son el foco de atención de la junta directiva de la empresa.

El nuevo presidente de la compañía, Dara Khosrowshahi, tendrá que hacer frente ahora a una investigación formal por parte de la fiscalía del estado de Nueva York anunciada ayer tras conocerse los detalles del ataque y una demanda colectiva que un usuario del servicio ha puesto ya en marcha. “Nada de esto tendría que haber ocurrido y no voy a inventar excusas para justificarlo”, dijo ayer Khosrowshahi.

Una trabajadora gana el pulso a su empresa en el control de su correo electrónico

El Juzgado de lo social nº 19 de Madrid ha declarado la nulidad de un despido efectuado por la empresa Amadeus Soluciones tecnológicas, tras responder a las preguntas que el Tribunal Europeo de Derechos Humanos calificó en una reciente sentencia como test para comprobar la corrección de las actuaciones empresariales.
 
 
En este caso, las pruebas que fundamentaban el despido de la trabajadora por parte de la empresa, eran fruto de la monitorización del uso que hacía del portátil que la propia compañía le había proporcionado para realizar su trabajo. Un control que la empresa había llevado hasta el punto de acceder al contenido de los correos personales que la empleada enviaba, eso sí desde su correo profesional. Dado el carácter invasivo de dicha vigilancia, el juez ha considerado que era necesario evaluar su proporcionalidad e idoneidad, para así resolver si se había producido o no una vulneración de los derechos fundamentales a la intimidad y al secreto de las comunicaciones de la trabajadora despedida. Para ello, en la sentencia se responde a las preguntas clave que el Tribunal de Estrasburgo en su sentencia de 5 de septiembre de 2017 – caso Brbulescu contra Rumanía – estableció para verificar en cada caso si las medidas de vigilancia utilizadas por una empresa resultan adecuadas respecto al fin que pretende. Y es que, como bien explica Fe Quiñones, abogada laboralista de Javaloyes Legal que ha llevado este pleito, “la jurisprudencia de este Tribunal es directamente aplicable a nuestro ordenamiento jurídico, hasta el punto de que la Constitución Española debe interpretarse conforme a dicha jurisprudencia“.
 
 
La primera de esas cuestiones a la que hay que contestar, es si el trabajador ha sido informado de que la empresa puede tomar medidas para supervisar sus comunicaciones. En segundo lugar, cuál ha sido el alcance de ese control, es decir, si solo se verifica el flujo de comunicaciones o también se ha entrado en el contenido de las mismas. Así como si la empresa contaba con argumentos legítimos que justificaran la vigilancia o si podía haber utilizado otros medios de control menos intrusivos. Además, también es necesario valorar las consecuencias que esa supervisión ha supuesto para el empleado, es decir, si los resultados de la vigilancia se usaron efectivamente para alcanzar el objetivo que motivo la medida o no. Y por último, comprobar si se dieron las garantías adecuadas para evitar que la empresa tuviera acceso al contenido de las comunicaciones sin avisar al empleado de dicha eventualidad.
 
 
Analizando uno por uno estos aspectos, el juez ha concluido que en este caso la medida de monitorización del ordenador de la trabajadora en la forma en que se hizo no estaba justificada. En su argumentación mantiene que resultó desproporcionada, lesionando por tanto sus derechos a la intimidad y al secreto de sus comunicaciones. En la carta de despido la empresa explicó que esta medida se tomó porque la empleada se negaba a hacer las tareas encomendadas, alegando que no tenía tiempo. De tal manera que la empresa lo que pretendía era determinar en qué empleaba su jornada laboral, cuál era su ocupación y si ésta era lo suficientemente completa como para no poder dedicar parte de su jornada a esas nuevas tareas que la compañía le había asignado. En opinión del juez del caso, para lograr ese objetivo era totalmente innecesario y desproporcionado conocer el contenido y los destinatarios de sus correos personales, los cuales entraban dentro de la expectativa de intimidad de la trabajadora a pesar de haber sido enviados desde la dirección de correo electrónico del trabajo. Ni siquiera el hecho de que la compañía grabara lo que la empleada hacía en su ordenador y después lo visionara en una reproducción rápida, es una garantía de que el control no resultó invasivo, ya que solo se trataba de una forma de revisión más ágil.
 
 
Es necesario en este punto destacar, como lo hace la sentencia, que la política de uso aceptable de los sistemas de información, internet y correo electrónico establecida por la empresa, si bien indicaba que debían usarse para fines profesionales, añadía determinadas excepciones. En otras palabras, limitaba el uso de estas herramientas de trabajo para fines personales a lo que fuera estrictamente “necesario, mínimo y razonable”. A pesar de ello, la resolución considera evidente que Amadeus se extralimitó en la monitorización del equipo de la trabajadora, ya que como apunta Fe Quiñones, llegaron “hasta el punto de tener acceso al contenido de correos electrónicos de carácter personal, enviados a familiares y a su asesora legal”.
 
 
En definitiva, la sentencia resuelve que la actuación de la empresa no supera los criterios establecidos por el tribunal de Estrasburgo y por tanto supone una lesión de derechos fundamentales lo que a su vez provoca que el resultado de esa monitorización no pueda usarse como prueba para justificar el despido. “Una prueba que se obtiene con vulneración de derechos fundamentales, no solamente significa que dicha prueba no se puede utilizar en el proceso, sino que convierte el despido en nulo, como aquí ha ocurrido”, así lo explica la abogada Fe Quiñones.

Entrevista en capital radio con José Helguero con motivo del día internacional de la protección de datos

El 28 de enero día tiene su origen en el año 2006 y se trata de una jornada impulsada por la Comisión Europea, el Consejo de Europa y las autoridades de Protección de Datos de los estados miembros de la Unión Europea que conmemora la aprobación del Convenio 108 del Consejo de Europa dicho día en 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.

La celebración de dicho día tiene como objetivo concienciar sobre el derecho a la protección de datos, promover las mejores prácticas y sensibilizar acerca de cómo una mala utilización de los datos e información personal puede acarrear riesgos, e incluso llegar a constituir un delito o facilitar su comisión por parte de terceras personas.

Este año el Día de Protección de Datos ha tomado un significado especial, ya que el Parlamento Europeo aprobó el año pasado el Reglamento General de Protección de Datos, que protege los datos de los ciudadanos de la UE, y será aplicable el 25 de mayo de 2018.

En la entrevistaJosé Helguero habló sobre el impacto que el Reglamento supone para las empresas y animó a llevar cabo los necesarios procesos de adaptación a la nueva normativa.


HELAS CONSULTORES
, empresa de consultoría española, líder en Consultoría y Auditoría que centra su actividad en la prestación de servicios integrales encaminados al cumplimiento de las actuales legislaciones sobre Sistemas de Gestión e Información y, especialmente, en los ámbitos de Protección de Datos de Carácter Personal, Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, Responsabilidad Penal de la Persona Jurídica, Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, Seguridad de la Información y Derecho TIC, Gestión de la Seguridad de la Información, Gestión de la Continuidad de Negocio, Gestión de la Seguridad TIC, Esquema Nacional de Seguridad y Esquema Nacional de Interoperabilidad.
 

Para escuchar la entrevista completa con José Helguero, Director General de HELAS Consultores, dale a PLAY :