El Comité Europeo de Protección

El Comité Europeo de Protección de Datos publica sus orientaciones sobre los conceptos de responsable y encargado de tratamiento

El Comité Europeo de Protección de Datos ha publicado unas orientaciones donde aclara los conceptos de responsable y encargado de tratamiento, entre otros elementos clave del RGPD. 

Los conceptos de responsable, corresponsable y encargado de tratamiento juegan un papel esencial en la aplicación del RGPD, y es por tanto necesario que se comprendan con claridad las funciones y roles asociados a los mismos. A estos efectos, el CEPD ha publicado unas orientaciones al respecto. La importancia de ello radica en que estos conceptos pretenden asignar una responsabilidad apropiada a cada una de las partes.  

 

Los responsables del tratamiento y los corresponsables deciden algunos elementos clave del tratamiento, pero no tienen por qué contar con acceso a los datos necesariamente. 

 

El responsable del tratamiento decide algunos de los aspectos clave del mismo, como las finalidades y los medios, pero para ser considerado como tal no es necesario que cuente con acceso a los datos. Cuando más de un actor participa en el tratamiento de los datos, las partes podrían ser consideradas corresponsables. Para ello es necesario que la intervención de todas ellas sea precisa para que el tratamiento tenga lugar en la forma en la que sucede, y que no sería posible en ausencia de alguna de ellas. Las partes pueden decidir de manera conjunta tanto las finalidades como los medios del tratamiento, o bien tan sólo uno de dichos elementos. Si bien el concepto de responsable no se limita a ningún tipo de entidad, normalmente se considera responsable a las empresas y organizaciones, no a individuos dentro de las mismas como podría ser un empleado o algún del cargo directivo.  

 

Si bien el RGPD no define las características que debe tener el acuerdo de corresponsables del tratamiento, el CEPD recomienda que sea un documento vinculante como un contrato o equivalente conforme al derecho de la UE o los Estados Miembros. Es importante destacar sin embargo que las autoridades de control no están sujetas a los términos de dicho acuerdo y los interesados pueden ejercer sus derechos frente a cualquiera de los corresponsables.

 

También pueden darse situaciones en las que varias partes participan en el tratamiento pero no son corresponsables. Si múltiples actores toman parte de manera sucesiva en la cadena de operaciones, serán responsables en su propio derecho, no corresponsables. 

 

Exploramos el concepto de corresponsables de tratamiento en detalle en nuestro blog “Corresponsabilidad del tratamiento: indicaciones clave del Comité Europeo de Protección de Datos”.

 

El encargado de tratamiento es una entidad separada del responsable, que trata los datos por cuenta del responsable. 

 

El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable o de los corresponsables. Las dos condiciones que debe cumplir un encargado de tratamiento para ser considerado como tal son las siguientes: por un lado, ser una entidad separada del responsable y, por otro, tratar los datos por cuenta del responsable. Los empleados y otras personas que actúan bajo la autoridad directa del responsable, como puede ocurrir con el personal temporal, no son encargados aunque traten los datos bajo el control e indicaciones del responsable, porque forman parte de la entidad del mismo. El tratamiento de datos personales puede implicar a varios encargados del tratamiento, pues un encargado es cualquier entidad que actúa por cuenta del responsable para tratar los datos personales.

 

El responsable deberá considerar si las garantías ofrecidas por el encargado del tratamiento son suficientes para cumplir con los requisitos del RGPD. 

 

A fin de cumplir con los requisitos del RGPD, es necesario que los responsables usen únicamente encargados que puedan ofrecer las garantías suficientes para implementar medidas técnicas y organizativas apropiadas. Sería apropiado considerar la experiencia técnica del encargado, así como su fiabilidad, recursos y posible adherencia a un código de conducta. El encargado deberá ser capaz de demostrar todas las garantías ofrecidas, pues cualquier otra sobre la que no pueda presentar credenciales no serán consideradas por el responsable. La relación entre el responsable y el encargado de tratamiento debería recogerse en un Acuerdo de Encargado de Tratamiento que contenga los elementos principales del mismo. 

 

Podría haber terceros que traten los datos sin pertenecer a ninguna de las categorías de responsable o encargado del tratamiento.  

 

El RGPD también define el concepto de tercero. Un tercero es “una persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado”. Este término se refiere por tanto a una entidad que, en relación a la transferencia de datos concreta, no se encuadra en ninguna de dichas categorías.

 

Un destinatario se define como “la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero”. Por ejemplo, cuando un responsable envía datos a otra entidad, ya sea esta entidad un encargado o un tercero, se la considera un destinatario. Es preciso señalar, sin embargo, que no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros.

 

En las orientaciones, el CEPD ofrece una explicación detallada de estos conceptos, sus funciones y responsabilidades, e incluye ejemplos específicos que muestran cómo funcionan estos términos en la práctica y su interacción con diferentes situaciones. 

 

¿Necesitas asesoramiento con el RGPD o la LOPDGDD? Aphaia ofrece servicios de adaptación al RGPD, la LOPDGG y a la CCPA, incluidas evaluaciones de impacto y Delegado de Protección de Datos

statement on privacy implications of mergers

El CEPD lanza un informe sobre las implicaciones de privacidad de las fusiones

El Comité Europeo de Protección de Datos ha publicado un informe sobre las implicaciones de privacidad de las fusiones.

El CEPD ha mostrado su preocupación sobre las implicaciones de privacidad de las fusiones tras conocer la intención de Google LLC de adquirir Fitbit Inc. El Comité ha explicado que este hecho situaría a una de las grandes empresas tecnológicas en la posición de adquirir incluso más datos personales sobre la población en Europa, y esto podría suponer un alto riesgo para los derechos y la protección de datos personales. El CEPD ya había indicado que en estos casos es obligatorio evaluar las implicaciones a largo plazo en los derechos y privacidad de los consumidores. El CEPD recuerda a las partes de dicha fusión evaluar y mitigar cualquier posible riesgo en este sentido antes de notificar la fusión a la Comisión Europea.

«El CEPD recuerda así a las partes de la potencial fusión, de acuerdo al principio de accountability, sus obligaciones bajo el RGPD, entre las que se encuentra llevar a cabo una evaluación completa y transparente de los requisitos de protección de datos y las implicaciones de privacidad”. El Comité considerará por sí mismo las implicaciones que la fusión puede tener para la protección de los datos personales en el Área Económica Europea y, aunque permanecerá alerta en casos similares en el futuro, se muestra dispuesto a contribuir con su asesoramiento a la Comisión si ésta así lo solicita.

En un comunicado de 2018, a raíz de la adquisición de Shazam por Apple, el CEPD avisó que el incremento de la concentración en los mercado digitales podría potencialmente amenazar el nivel de protección de datos y libertad del que disfrutan los consumidores, y aconsejó que autoridades de control independientes ayudasen a evaluar el impacto en el consumidor o en la sociedad. También añadieron que “Esta evaluación, al igual que la identificación de las condiciones o remedios para mitigar impactos negativos en la privacidad o libertad de otros, puede ser independiente o estar integrado en el análisis llevado a cabo por las autoridades competentes bajo la Ley de Competencia”.

En lo que se refiere a la cesión de datos en este contexto, las fusiones son una forma propicia de proceder, porque la entidad responsable de los datos no cambia. Cualquier otra vía tendría que ser extremadamente transparente y ofrecer a los consumidores la opción de oponerse al tratamiento. Sin embargo, si el responsable pasa a ser parte de un grupo corporativo, los datos podrían ser cedidos entre las empresas del grupo con base en el interés legítimo, tras llevar a cabo la correspondiente Evaluación de Interés Legítimo (LIA). Esto deberá hacerse caso por caso en cualquier circunstancia, pues no es seguro que dicha evaluación vaya siempre a superar el test de proporcionalidad.

Conforme a Cristina Contero Almagro, Socia de Aphaia, “le evaluación de los requisitos de protección de datos y las implicaciones de privacidad de la fusión deberán incluir, como uno de sus principales elementos, una evaluación completa de las medidas de seguridad implementadas en la otra empresa, no sólo en el momento actual sino también durante los últimos años. La brecha de seguridad que experimentó Marriott el año pasado es un buen ejemplo que muestra la importancia de comprobar de manera correcta las medidas de seguridad antes de llevar a cabo una fusión o adquisición”.

¿Tienes dudas sobre cómo una fusión o adquisición podría impactar la protección de datos en tu empresa? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

TIM Fined for Unlawful Marketing

La Autoridad de Control italiana, Garante, ha multado con 27.802.496 euros a TIM S.p.A por repetidos tratamientos ilegítimos de datos con fines de marketing

La autoridad de control italiana llevó a cabo numerosas y complejas investigaciones tras recibir cientos de quejas entre enero de 2017 y principios de 2019 en relación a tratamientos ilegítimos de datos con fines de marketing, en particular, llamadas no solicitadas que se efectuaron sin consentimiento alguno desde call centers de parte de TIM S.p.A. En algunos casos, los interesados incluso habían denegado su consentimiento para recibir llamadas de marketing o eran parte de los registros públicos de exclusión publicitaria. Algunos afectados también mencionaron procesos desleales de concursos y premios y los formularios aplicables, entre otras materias. La investigación se realizó con la ayuda de una unidad especializada de la Policía Financiera Italiana y puso de manifiesto varios incumplimientos graves de la normativa de protección de datos.

Llamadas de marketing ‘a puerta fría’ ilegítimas

Se constató que TIM SpA, quien es el mayor proveedor de servicios de telecomunicaciones en Italia, había realizado, desde diferentes call centers, millones de llamadas de marketing tanto a clientes como a ‘no clientes’ sin su consentimiento, lo cual implicaba tratamientos ilegítimos de datos con fines de marketing. Asimismo, se hicieron también llamadas a muchos clientes que se habían opuesto de manera expresa a las mismas. Además, otros dos mil números fueron contactados y no se incluyeron en la lista de números de la compañía. Conforme al Comité Europeo de Protección de Datos “otros tipos de conductas ilícitas también fueron identificadas, como la falta de supervision por parte de TIM de las actividades de algunos de los call centers a fin de gestionar de manera correcta la lista de números de aquellas personas que se habían opuesto a recibir dichas llamadas de marketing, y el hecho de que ofrecer consentimiento a actividades de marketing era un requisito para unirse al programa de descuentos denominado ‘Tim Party’ ”.

Medidas impuestas por la Autoridad de Control italiana

Además de la multa, la Autoridad de Control Italiana impuso algunas condiciones y prohibiciones a TIM. Por ejemplo, se les requirió comprobar la consistencia de las listas de aquellos que se habían opuesto a las llamadas de marketing, y también permitir a los clientes el acceso a los descuentos y premios y concursos sin tener que ofrecer su consentimiento para comunicaciones comerciales. TIM tendrá también que revisar los procedimientos de activación de su app y especificar siempre y de manera clara, en un lenguaje pleno y comprensible, las actividades de tratamiento que realizan junto a la finalidad y los mecanismos asociados. Deberán asegurarse de que reciben el consentimiento necesario de los interesados. Por otro lado, la empresa no podrá utilizar los datos de sus clientes recogidos por medio de sus tres apps: ‘MyTim’, ‘TimPersonal’ y ‘TimSmartKid’ para ninguna otra finalidad diferente de aquella de ofrecer los servicios a sus clientes, cuando no medie el consentimiento libre y específico de los mismos. Esto es sólo una parte de las 20 medidas correctivas impuestas por la Autoridad de Control italiana, las cuales deberán ser implementadas y se tendrá que informar del progreso con las mismas a la Autoridad de Control italiana dentro de un plazo especificado, además de hacer efectivo el pago de los 27,8 millones de euros en 30 días.

¿Deberíamos estar preocupados?

Debe tenerse en cuenta que las normas sobre las llamadas ‘a puerta fría’ varían de un país a otro, incluso dentro del marco del RGPD. Es por tanto necesario consultar a un experto antes de decidir la implantación de estas prácticas de llamadas o emails de marketing. Los últimos están por lo general prohibidos en todos los Estados Miembro y en España, con algunas excepciones.

 

¿Tu empresa ha implementado todas las medidas de seguridad adecuadas en conformidad con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

 

Multa a una farmacia de Londres por no proteger de manera adecuada categorías especiales de datos

La farmacia dejó más de 500.000 documentos en contenedores sin candado detrás de las instalaciones.

No proteger de manera adecuada categorías especiales de datos puede desencadenar importantes multas bajo el RGPD.

¿Tus dispositivos están protegidos con contraseña? ¿Utilizas sólo servicios cloud que encriptan los datos? Si tu respuesta es ‘sí’, se podría decir que los elementos básicos de ciberseguridad están cubiertos, pero esto no significa necesariamente que los datos que tratas estén seguros. ¿Qué ocurre con la seguridad física? Es tan importante como la ciberseguridad, pero parece que es un tema del que las empresas se preocupan menos porque forma parte del ‘mundo analógico’. Sin embargo, conlleva importantes riesgos que han motivado varias multas desde que se empezó a aplicar el RGPD, sobre todo cuando se trata de no proteger de manera adecuada categorías especiales de datos.

La multa más reciente en este sentido la impuso la autoridad de control de Reino Unido, la ICO, el pasado 20 de diciembre, a la farmacia Doorstep Dispensaree Ltd. Tendrán que pagar más de 300.000 € por no proteger de manera adecuada categorías especiales de datos.

Los hechos

La farmacia dejó más de 500.000 documentos, con fecha entre 2016 y 2018, en contenedores sin candado en la parte trasera de sus instalaciones. Los archivos incluían nombres, direcciones, fechas de nacimiento, números de la Seguridad Social, información médica y recetas de un número indeterminado de personas.

Brechas similares a estas ocurren más a menudo de lo que cabría esperar. En España encontramos un caso parecido, pues la AEPD multó el año pasado a un colegio porque el servicio de limpieza tiró a un contenedor varios exámenes de los alumnos que contenían datos personales de los mismos, sin aplicar las medidas de destrucción adecuadas.

¿Por qué es una brecha del RGPD?

Dejar cualquier tipo de documentos con información personal en contenedores sin candado supone una brecha del RGPD porque implica que cualquiera podría acceder a la información sin ninguna base legítima para ello. En este caso, además, se trataba de datos de salud, que es una categoría especial de datos personales que requiere de protección adicional.

¿Qué dice el RGPD al respecto?

El artículo 32.1 del RGPD establece que “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”. En este caso parece que no se habían aplicado tales medidas técnicas y organizativas o, al menos, que no eran adecuadas para asegurar un nivel de seguridad correspondiente con el riesgo.

Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto y subcontratación del Delegado de Protección de Datos. Infórmate aquí.