La CNPD de Luxemburgo adopta el esquema de certificación RGPD-CARPA

Luxemburgo se convierte en el primer país en introducir un esquema de certificación bajo el RGPD al adoptar el esquema de certificación RGPD-CARPA.

 

La Comisión Nacional de Protección de Datos de Luxemburgo (CNPD) adoptó el pasado mes el mecanismo de certificación RGPD-CARPA (“Certified Assurance-Report based Processing Activities”, por sus siglas en inglés). El RGPD-CARPA es así el primer mecanismo de certificación adoptado bajo el RGPD a nivel tanto nacional como internacional. Las empresas y otras organizaciones de Luxemburgo tienen ahora la oportunidad de demostrar que sus actividades de tratamiento de datos cumplen con el RGPD. Esta certificación garantiza un alto grado de cumplimiento con la normativa por parte de aquellos responsables y encargados cuyas actividades de tratamiento de datos estén cubiertas por la misma. Debe tenerse en cuenta que este mecanismo no certifica a la organización en sí misma sino a actividades de tratamiento específicas. 

 

La certificación de protección de datos fue desarrollada con la colaboración de auditores profesionales y revisada por el CEPD. 

 

La CNPD, como responsable de este esquema de certificación, acreditará aquellas entidades que cumplan con los requisitos. Desde que el RGPD comenzó a aplicarse en 2018, la CNPD ha mantenido numerosas conversaciones con auditores profesionales para desarrollar el sistema de acreditación, el cual se basa en la ISAE 3000 (auditoría), la ISCQ1 (control de calidad de las organizaciones auditoras) y la ISO 17065 (licencia de entidades certificadoras). El criterio de acreditación destaca el trabajo realizado por la entidad de certificación y los auditores profesionales. Después de que la CNPD publicase la primera versión de su esquema de certificación, otras autoridades de control europeas examinaron el criterio bajo el mecanismo de coherencia y el CEPD emitió una opinión formal al respecto. En general, la CNPD ha sido un impulsor de los avances del CEPD en el campo de la certificación, ha actuado como ponente de las orientaciones publicadas en torno a ella y ha ayudado al CEPD con las opiniones formales en esta nueva materia. 

 

La implementación del mecanismo de certificación RGPD-CARPA incentivará la confianza en los tratamientos de datos que estén cubiertos por el mismo. 

 

La implementación del esquema de certificación puede ayudar a promover la transparencia y el cumplimiento con el RGPD, así como contribuir a que los sujetos sienta seguridad respecto del grado de protección ofrecido por los productos, servicios, procesos y sistemas empleados por las organizaciones para tratar sus datos personales. Una característica única del esquema de certificación de la CNPD es que se basa en un informe ISAE 3000 tipo 2, con el auditor como responsable de la implementación del mecanismo de control, lo cual ofrece garantía de un alto nivel de confianza, que es clave para generar confianza de los actores principales y los sujetos en las actividades de tratamiento cubiertas por el esquema de certificación. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Cesión de datos de organizaciones benéficas: guía de la CNIL

La CNIL ha publicado recientemente una guía en relación a la cesión de datos con fines de prospección en las organizaciones benéficas. 

 

La CNIL ha publicado recientemente una guía relacionada con la cesión de datos por parte de organizaciones benéficas con la finalidad de prospección. Conforme a la CNIL, estas directrices están dirigidas a cualquier asociación o fundación que apele a la generosidad del público para recibir donaciones y que ceda los datos de sus miembros o contactos con la finalidad de prospección benéfica o comercial. Las normas aplicables varían ligeramente según el objetivo que se persiga con la reutilización de los datos; ya sea para campañas benéficas o comerciales. Esta guía también se enfoca a las compañías comerciales que venden o alquilan a las organizaciones benéficas archivos con datos personales para prospección benéfica. 

 

Las organizaciones que cedan los datos de sus miembros a otras organizaciones con fines de prospección benéfica deberán informar a los interesados. 

 

Las normas aplicables a la prospección benéfica son menos estrictas que aquellas que regulan la prospección comercial. Una organización puede transmitir los datos de sus miembros o contactos a otra organización con la finalidad de prospección benéfica, conforme a las condiciones básicas del RGPD. Esta prospección puede realizarse por correo, llamadas telefónicas o por otros medios electrónicos, como SMS o llamadas automáticas. Bajo el RGPD, las partes afectadas (miembros/contactos) deben haber sido informados del uso de sus datos con finalidades de prospección benéfica en el momento de la recogida inicial. Deberá ser en ese momento cuando los sujetos sean informados de la posible cesión de sus datos a los socios de la organización con finalidad de prospección benéfica.  

 

Las organizaciones deberán obtener consentimiento en el momento de recoger los datos para poder utilizarlos con finalidades de prospección comercial.

 

En algunos casos, una asociación o fundación que apela a la generosidad del público puede necesitar ceder los datos de sus miembros o contactos a otras organizaciones similares con la finalidad de prospección comercial. Para que esta circunstancia pueda darse, los interesados tendrán que haber dado su consentimiento explícito para que sus datos se utilicen con esta finalidad de manera específica, en el momento los mismos fueron obtenidos. Además, los sujetos también deberán poder oponerse al tratamiento de estos datos de antemano, de forma sencilla y gratuita.  Por ejemplo, debería ser tan fácil como marcar una casilla de verificación que esté a su disposición en los pasos iniciales de recogida de datos. También podrán retirar su consentimiento en cualquier momento, y en concreto después de cada contacto.  

 

Una organización que reciba datos de sus miembros es responsable del tratamiento de los mismos y deberá cumplir con el RGPD. 

 

Una vez que una organización ha recibido datos de miembros o contactos por parte de otra organización que los recoge, la misma será responsable del tratamiento de estos y tendrá que cumplir con los requisitos aplicables bajo el RGPD. Deberá proporcionar a los interesados toda la información relevante, como tarde en la primera comunicación con los mismos. Esto incluye, en concreto, aportar la fuente de la que se obtuvieron los datos, así como otra información exigida por el artículo 14 del RGPD. Asimismo, tanto en el primer contacto como en cada comunicación, el interesado deberá poder oponerse a ser contactado de nuevo. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Protección de datos de salud: nueva sección en la página de la AEPD

La AEPD ha inaugurado una nueva sección dentro de su página web, destinada a información y recursos específicos para la protección de datos de salud. 

 

La AEPD acaba de inaugurar un nuevo espacio dentro de la zona ‘Áreas de Interés’ en su página web, para facilitar la consulta y la divulgación de información sobre el tratamiento de datos de salud. El objetivo de esta iniciativa es dar una respuesta a las necesidades expresadas por los representantes del sector salud sobre contra con una compilación de legislación y otros recursos en materia de salud y protección de datos. Los datos de salud se consideran categorías especiales de datos personales y por tanto se precisan garantías adicionales para la protección de este tipo de daos en particular.  

 

Esta nueva sección en la página web de la AEPD contiene información destinada a varios miembros de la comunidad. 

 

Los recursos proporcionados por la AEPD en esta nueva sección de su página web se destinan a los ciudadanos, responsables del tratamiento, profesionales de protección de datos, instituciones de salud y la industria farmacéutica, entre otros. Se compone de siete secciones que incluyen información general sobre el tratamiento de datos de salud y cómo ejercer el derecho de acceso a registros médicos. Además, se ofrecen respuestas a preguntas relacionadas con la investigación médica. Asimismo se detalla el criterio establecido por la AEPD en consultas planteadas por miembros del sector de la salud, y también información sobre inspecciones que se han llevado a cabo. Algunos de los recursos adicionales que pueden encontrarse en esta nueva sección son asuntos relacionados con la investigación de salud y ensayos clínicos, al igual que información sobre brechas de datos personales dentro del sector salud. 

 

Se anima a los profesionales de la salud y a otras partes a utilizar estos recursos. 

 

Esta nueva sección de la página web de la AEPD se lanzó el 3 de mayo y contiene numerosos enlaces de utilidad. Se espera que esta información se actualice de manera regular con noticias, novedades legislativas y brechas de datos personales que afecten a datos de salud en concreto. Se puede acceder a este nuevo espacio aquí, disponible para todo el mundo. Se anima a los profesionales de la salud y otras partes interesadas a utilizar este nuevo recurso de gran utilidad ofrecido por la AEPD.   

¿Tratas datos de salud? ¿Necesitas ayuda con los requisitos específicos que se aplican a las categorías especiales de datos personales? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Grabación de conversaciones telefónicas para el establecimiento de un contrato

La CNIL ha publicado una guía sobre el establecimiento de contrato mediante conversaciones telefónicas grabadas. 

 

En lo que se refiere al establecimiento de contratos, a veces se requiere grabar una conversación telefónica como prueba de formación del mismo. La ley lo permite cuando sea necesario, de forma que para que una organización pueda grabar conversaciones telefónicas de forma legítima, debe, como el responsable de los datos, demostrar que no hay otro modo de probar que se ha formado el contrato con el sujeto. La CNIL ha publicado un informe donde detalla los factores que deben tenerse en cuenta cuando se precisa grabar las conversaciones de teléfono a estos efectos.  

 

Mientras que algunos contratos pueden formalizarse de manera oral, otros deben establecerse por escrito. 

 

La grabación debe ser necesaria para probar la formación del contrato, de manera que no se aplicará a los contratos escritos. Cuando se contacta con un cliente por teléfono con el objetivo de establecer un contrato relacionado con la venta de bienes o la provisión de servicios, por ejemplo, el usuario sólo está vinculado a ello después de haberlo aceptado y firmado a través de un medio duradero, como un contrato escrito. La grabación de conversaciones telefónicas con la finalidad de probar la formación del contrato es por tanto necesaria en este contexto. Sin embargo, aquellos contratos que pueden formalizarse de manera oral (por ejemplo, para la compra de determinados servicios de pago), si la grabación de conversaciones es posible, el principio de minimización de datos debe ser respetado en el proceso.  

 

Cuando el contrato se establezca mediante conversación telefónica, sólo podrá grabarse la parte de la conversación relacionada con la formación del contrato. 

 

Cuando los contratos puedan formalizarse mediante una grabación, salvo que la ley lo permita, ésta no deberá ser permanente ni sistemática, y sólo se podrán grabar las conversaciones relacionadas con el establecimiento del contrato por teléfono. En consecuencia, la empresa u organización tendrá que proporcionar mecanismos para grabar las conversaciones telefónicas entre el operador y el cliente sólo desde el momento en que la conversación versa de forma clara sobre el establecimiento del contrato. La parte relevante de la conversación sólo puede retenerse en ausencia de otra prueba de formación del contrato. La grabación tampoco puede activarse por defecto ni automáticamente. El escenario recomendado as aquel en el que el operador activa la grabación manualmente, tan sólo en casos donde la finalidad de la conversación es confirmar un contrato que no puede probarse por otros medios. 

 

El tratamiento de datos personales basado en el establecimiento del contrato es posible bajo el RGPD. 

 

Cuando se acuerda formalizar un contrato por teléfono, las grabaciones de las conversaciones telefónicas pueden tratarse sobre la base del contrato bajo el RGPD. El artículo 6(1)(b) del RGPD proporciona una base legal para el tratamiento de los datos personales siempre y cuando “el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales”.

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.