Directrices del Comité Europeo de Protección de Datos sobre los Códigos de Conducta

El Comité Europeo de Protección de Datos publica unas pautas sobre los Códigos de Conducta y las correspondientes autoridades de control conforme al RGPD.

Uno de los principales conceptos que introduce el RGPD es el principio de “accountability” que recae sobre el responsable de los datos, lo que se traduce en un deber de diligencia respecto del tratamiento, entendido como la obligación de aplicar las medidas correspondientes según la naturaleza de la información y del contexto. Uno de los métodos previstos en el RGPD para demostrar la observancia de este principio son los denominados Códigos de Conducta, previstos en los artículos 40 y 41 de la norma. El Comité Europeo de Protección de Datos se ha pronunciado con una interpretación práctica de la materia, a fin de establecer un criterio base y clarificar los conceptos y reglas que se aplican.

Los Códigos de Conducta son herramientas de cumplimiento de carácter voluntario que establecen una serie de normas específicas para un determinado sector, y que se aplicarán a los responsables y encargados de dicho sector que de forma libre deseen adherirse. Los Códigos otorgan así cierto nivel de autonomía a los responsables y encargados, que pueden determinar las prácticas más adecuadas que mejor se adaptan a su sector, y generan confianza en los usuarios al suponer un compromiso concreto en cuanto al tratamiento de sus datos. Los Códigos de Conducta están además reconocidos en el RGPD como un método válido para demostrar cumplimiento con algunos de sus principios y previsiones.

El Comité Europeo de Protección de Datos ha establecido una serie de criterios que las Autoridades de Control deberán tener en cuenta para evaluar la viabilidad de los Códigos de Conducta, a saber:

  • Declaración de aplicabilidad y documentación de apoyo, a fin de detallar el propósito y ámbito del Código.
  • Representante: los Códigos deberán ser presentados por una asociación o conjunto de ellas en representación de determinadas categorías o grupos de responsables y encargados.
  • Ámbito del tratamiento: el Código deberá definir las actividades de tratamiento sobre las que opera, así como las categorías de responsables y encargados.
  • Alcance territorial: se habrá de señalar de forma específica si es un Código nacional o internacional, y las jurisdicciones sobre las que tendrá efecto.
  • Sumisión a una Autoridad de Control: la Autoridad de Control que reciba el Código para su revisión deberá ser competente para ello conforme a las normas del RGPD.
  • Previsión de mecanismos de cumplimiento: el Código deberá incluir un sistema de supervisión de cumplimiento por parte de aquellos que se adhieran.
  • Consulta: el Código deberá configurarse de modo que incluya la información relevante sobre las consultas realizadas para su redacción (empresas, interesados, etc.).
  • Legislación nacional: cualquier Código propuesto tendrá que haber sido redactado en consonancia con la legislación nacional, sobre todo cuando haya normativa sectorial que sea de aplicación.
  • Idioma: en términos generales los Códigos deberán ser presentados en el idioma oficial del país de la Autoridad de Control, y, aquellos de ámbito internacional, también en inglés.

Además de estos criterios objetivos base, la aprobación final del Código pasa también por la valoración de la forma en que éste da respuesta específica a las necesidades del sector en la materia a la vez que beneficia a toda la sociedad.

En cuanto al aspecto formal del resto del procedimiento, cabe destacar que los Códigos podrán presentarse a la Autoridad de Control tanto de forma online como escrita, y que en caso de sufrir algún defecto de forma o fondo no hay período de subsanación, sino que deberá presentarse de nuevo. En el caso de los Códigos de ámbito internacional, la Autoridad de Control competente remitirá el borrador al resto de autoridades interesadas, de las cuales dos se identificarán como co-revisores y tendrán un plazo de treinta días para pronunciarse al respecto, tras lo que se decidirá si se remite al Comité Europeo de Protección de Datos para su valoración.

Finalmente, el propio Código deberá prever una institución de supervisión que controle su efectivo cumplimiento por parte de las partes adheridas, y dicha institución tendrá que ser aprobada por parte de la Autoridad de Control. Se han establecido también una serie de requisitos que deberán cumplir estas instituciones, entre los que se encuentran:

  • Independencia: lo representantes tendrán que demostrar la efectiva independencia de la institución respecto de la profesión y el sector en sí mismo, pero este hecho no impide que la institución de control pueda ser tanto externa como interna, aunque en este último caso sus funciones, dirección y responsabilidades deberán estar separadas del resto de la organización.
  • Conflicto de intereses: en línea con la anterior característica y de manera similar a lo que ocurre con los Delegados de Protección de Datos, la institución de supervisión no podrá recibir normas del sector u organización al que sirve. Asimismo, deberá evitar cualquier incompatibilidad.
  • Experiencia: la misma propuesta de institución de supervisión deberá incluir una relación de la experiencia en la materia, tanto en protección de datos como en el campo específico al que se aplique.
  • Estructura y procedimiento: la institución deberá prever una serie de procesos que permitan un efectivo control de cumplimiento y toma de acción cuando sea necesario.
  • Transparencia: la institución habrá de contar con un sistema de funcionamiento transparente, principalmente en relación a la resolución de quejas y procedimientos, además de ser dotada de los poderes suficientes para ejercer su función.

Puedes acceder al documento original (en inglés) aquí.

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.

Enmiendas al Reglamento ePrivacy bajo la Presidencia de Rumanía

A comienzos de año Rumanía asumió la presidencia rotatoria del Consejo de la UE. El Reglamento europeo ePrivacy fue inicialmente aprobado hace dos años, y se preveía su implementación al mismo tiempo que el RGPD.

La presidencia de Rumanía ha presentado un conjunto de enmiendas al Reglamento ePrivacy. Merece la pena consultarlas, aunque no se esperan grandes cambios.

¿Qué servicios regula el Reglamento ePrivacy?

 Este ha sido uno de los puntos importantes de debate constante desde la propuesta del ePrivacy: las normas de privacidad en las comunicaciones se van a aplicar ahora a servicios como marketplace, gaming o mensajería móvil en las apps.

La última enmienda bajo la Presidencia de Rumanía lo deja claro al remitirse a la definición del nuevo Código Europeo de las Comunicaciones Electrónicas (EECC), los servicios de comunicación interpersonal que garanticen tal protección deberán incluir servicios que permitan una comunicación interpersonal e interactiva, aunque ésta sea simplemente una característica secundaria intrínsicamente vinculada a otro servicio principal.

En otras palabras, no importa cuan insignificante sea la función de mensajería en relación al servicio, se tiene que garantizar la protección de la privacidad como en cualquier otra comunicación interpersonal.

Limitaciones a la excepción de tratamiento con fines de seguridad

Según las enmiendas, se refuerzan las condiciones para poder considerar la seguridad como carta blanca para el tratamiento de datos. Mientras que el tratamiento será posible si es necesario detectar o prevenir riesgos o ataques de seguridad en los dispositivos de los usuarios finales, tal tratamiento se permitirá únicamente “por el tiempo necesario para ese propósito”.

Otras modificaciones de interés

Las enmiendas incluyen un requerimiento de colaboración de las autoridades de control para con las autoridades de protección de datos cuando corresponda, así como nuevos poderes de instrucción y correctivos para las autoridades de control.

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.

Alemania prohíbe a Facebook combinar datos de diferentes fuentes

La autoridad alemana de regulación de la competencia (Bundeskartellamt) restringe el tratamiento de datos realizado por Facebook basado en combinar información de sus usuarios proveniente de diferentes fuentes.

Alemania prohíbe a Facebook el cruzado de datos de sus usuarios sin su consentimiento. Esta práctica consistía en la recopilación de datos tanto de diferentes websites y aplicaciones propiedad de la red social como de páginas de terceros a fin de combinar la información y relacionarla con la cuenta de Facebook de cada usuario particular, de manera que se creaba así una base de datos única para cada individuo en concreto.

Los términos de servicio de Facebook y la parte de su política de Privacidad correspondiente a la forma en que se tratan los datos infringen el RGPD. Facebook tendrá que rediseñar su actividad en este sentido y actualizar sus políticas para ceder al usuario más control sobre sus datos, y, en concreto, la posibilidad de cruzado de los mismos. En palabras de Andreas Mundt, presidente del Bundeskartellamt, “En el futuro los usuarios podrán evitar que Facebook recoja y use sus datos de manera indiscriminada. La práctica hasta ahora asentada basada en el cruzado de datos sin ninguna limitación deberá ahora estar sujeta a consentimiento voluntario de los usuarios. El hecho de que sea voluntario significa que el uso de los servicios de Facebook no debe estar condicionado a que el usuario otorgue o no el consentimiento para la combinación de información, de tal forma que, si no lo concede, los servicios deberán estar igualmente disponibles”. Si Facebook no recoge el consentimiento a estos efectos, el tipo de tratamiento que podrá dar a los datos será muy restringido. Facebook deberá desarrollar una solución a esta situación en los próximos cuatro meses y presentarla al Bundeskartellamt.

El Dr Bostjan Makarovic, Socio Gerente de Aphaia, ha analizado este escenario y considera que “la forma en que Facebook recoge, cruza y usa los datos constituye una situación de abuso de posición dominante, y el descubrimiento de que se estaba dando esa práctica supone un paso importante tanto para la ley de protección de datos como para la de competencia y la interacción entre ambas”; y aclara las implicaciones que se pueden derivar: “se confirmaría así que algunas actividades de tratamiento pueden ser legales o ilegales en función del poder de mercado del responsable, lo cual afectaría no sólo a los particulares, sino también a algunas pequeñas empresas, pues se reconocería que la legitimación del tratamiento puede ser interpretada según el tamaño y alcance de las actividades. Queda por ver cómo se reflejará esta problemática en la jurisprudencia sobre protección de datos”.

Se puede acceder el documento original del Bundeskartellamt (en inglés) aquí.

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.

España lanza una Guía Nacional de Notificación y Gestión de Ciberincidentes

España se convierte en el primer país de la Unión Europea que dispone de un marco único de notificación y gestión de incidentes de ciberseguridad.

La Guía Nacional de Notificación y Gestión de Ciberincidentes, aprobada por el Consejo Nacional de Ciberseguridad, ha sido concebida con la idea de crear un marco de referencia dirigido tanto al sector público como al privado para la notificación de incidentes de ciberseguridad.

Se establece un sistema de ventanilla única de notificación, por el cual el sujeto deberá efectuar la comunicación del incidente únicamente al organismo de referencia (CSIRT) correspondiente en cada caso, que será el Centro Criptológico del Centro Nacional de Inteligencia (CCN-CERT) para el Sector Público o el Instituto Nacional de Ciberseguridad de España (INCIBE-CERT) para el sector privado. El organismo de referencia remite el caso al organismo receptor implicado (por ejemplo, en caso de que afecte al RGPD, será la AEPD) y este será el que después se ponga en contacto con el sujeto afectado para recabar más información al respecto.

A fin de facilitar la identificación y análisis posterior de los ciberincidentes, se han definido diez categorías diferentes: contenido abusivo (ej. Spam), contenido dañino (ej. Malware), obtención de información (ej. grabación del tráfico de redes), intento de intrusión (ej. Vulneración de credenciales), intrusión (ej. Compromiso de aplicaciones), disponibilidad (ej. DDoS), compromiso de la información (ej. Pérdida de datos), fraude (ej. Phishing), vulnerable (ej. Criptografía débil) y otros.

Según el tipo de categoría sobre el que recaiga el incidente, se decidirá el Nivel de peligrosidad, que determina la potencial amenaza que supondría la materialización del incidente para los sistemas de información o comunicación del ente afectado, así como para los servicios prestados o la continuidad de negocio. Podrá ser crítico, muy alto, alto, medio o bajo. De manera similar, a posteriori se configurará el indicador de impacto, para evaluar las consecuencias que el ciberincidente haya tenido en las funciones y actividades de la organización afectada o en sus activos. También podrá ser crítico, muy alto, alto, medio o bajo, y se añade una opción adicional: sin impacto.

En cuanto a la gestión de los ciberincidentes, se definen las fases que toda institución y empresa deberían implementar de cara a prevenirlos y, en caso de que ocurran, ser capaces de restaurar los niveles de operación lo antes posible. Las fases son: preparación (ej. Políticas actualizadas), identificación (e. Monitoreo de redes), contención (ej. Evaluación de la información disponible y clasificación), mitigación (ej. Recuperación de la última copia de seguridad limpia), recuperación (retomar el nivel de actividad normal) y post-incidente (evaluación de la causa y coste). 

Si necesitas asesoramiento en protección de datos, Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, incluidas Evaluaciones de Impacto, y Subcontratación del Delegado de Protección de Datos.