Archivos de la etiqueta: Agencia Española de Protección de Datos

24Abr/20

Informe del Gabinete Jurídico de la Agencia Española de Protección de Datos N/REF: 0017/2020, en relación con los tratamientos de datos resultantes de la actual situación derivada de la extensión del virus COVID-19

Gabinete Jurídico

N/REF: 0017/2020

Examinada su solicitud de informe, en relación con los tratamientos de datos resultantes de la actual situación derivada de la extensión del virus COVID-19, en primer lugar, con carácter general, debe aclararse que la normativa de protección de datos personales, en tanto que dirigida a salvaguardar un derecho fundamental, se aplica en su integridad a la situación actual, dado que no existe razón alguna que determine la suspensión de derechos fundamentales, ni dicha medida ha sido adoptada.

Sin perjuicio de lo anterior, la propia normativa de protección de datos personales (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD) contiene las salvaguardas y reglas necesarias para permitir legítimamente los tratamientos de datos personales en situaciones, como la presente, en que existe una emergencia sanitaria de alcance general. Por ello, al aplicarse dichos preceptos previstos para estos casos en el RGPD, en consonancia con la normativa sectorial aplicable en el ámbito de la salud pública, las consideraciones relacionadas con la protección de datos -dentro de los límites previstos por las leyes- no deberían utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la epidemia, por cuanto ya la normativa de protección de datos personales contiene una regulación para dichos casos que compatibiliza y pondera los intereses y derechos en liza para el bien común.

I

El Considerando (46) del RGPD ya reconoce que en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público, como en el interés vital del interesado u otra persona física.

(46) El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.

Por lo tanto, como base jurídica para un tratamiento lícito de datos personales, sin perjuicio de que puedan existir otras bases, -como por ejemplo el cumplimiento de una obligación legal, art. 6.1.c) RGPD (para el empleador en la prevención de riesgos laborales de sus empleados)-, el RGPD reconoce explícitamente las dos citadas: misión realizada en interés público (art. 6.1.e) o intereses vitales del interesado u otras personas físicas (art. 6.1.d).

El art. 6.1, letra d) RGPD considera no sólo que el interés vital es suficiente base jurídica del tratamiento para proteger al “interesado” (en cuanto que este es un término definido en el art. 4.1) RGPD como persona física identificada o identificable), sino que dicha base jurídica puede ser utilizada para proteger los intereses vitales “de otra persona física”, lo que por extensión supone que dichas personas físicas pueden ser incluso no identificadas o identificables; es decir, dicha base jurídica del tratamiento (el interés vital) puede ser suficiente para los tratamientos de datos personales dirigidos a proteger a todas aquellas personas susceptibles de ser contagiadas en la propagación de una epidemia, lo que justificaría, desde el punto de vista de tratamiento de datos personales, en la manera más amplia posible, las medidas adoptadas a dicho fin, incluso aunque se dirijan a proteger personas innominadas o en principio no identificadas o identificables, por cuanto los intereses vitales de dichas personas físicas habrán de ser salvaguardados, y ello es reconocido por la normativa de protección de datos personales.

El apartado 3 del artículo 6 RGPD no establece la necesidad de que la base del tratamiento por razón de interés vital haya de ser establecida por el Derecho de la Unión o el Derecho de los Estados Miembros aplicables al responsable del tratamiento, pues dicho apartado se refiere exclusivamente a los tratamientos establecidos para el cumplimiento de una obligación legal, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, ambas referidas en las letras c) y e) de dicho artículo 6 RGPD, pero no para los tratamientos incluidos en la letra d).

Sin embargo, para el tratamiento de datos de salud no basta con que exista una base jurídica del art. 6 RGPD, sino que de acuerdo con el art. 9.1 y 9.2 RGPD exista una circunstancia que levante la prohibición de tratamiento de dicha categoría especial de datos (entre ellos, datos de salud).

Esta AEPD entiende que dichas circunstancias cabe encontrarlas, en este caso, en varios de los epígrafes del art. 9.2 RGPD. Así:

(I) En la letra b), en las relaciones ente empleador y empleado, por cuanto el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento (el empleador) o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, ya que el empleador está sujeto o a la normativa de prevención de riesgos laborales (Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales) de la cual se desprende, artículo 14 y concordantes de dicha ley, un deber del empresario de protección de los trabajadores frente a los riesgos laborales, para lo cual el empresario deberá garantizar la seguridad y salud de todos los trabajadores a su servicio en los aspectos relacionados con el trabajo. Por ese mismo fundamento, el art. 29 de la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales, que transpone el art. 13 de la Directiva del Consejo (89/391/CEE), de 12 de junio de 1989, relativa a la aplicación de medidas para promover la mejora de la seguridad y de la salud de los trabajadores en el trabajo, establece también obligaciones de los trabajadores en materia de prevención de riesgos. Así, corresponde a cada trabajador velar, según sus posibilidades y mediante el cumplimiento de las medidas de prevención que en cada caso sean adoptadas, por su propia seguridad y salud en el trabajo y por la de aquellas otras personas a las que pueda afectar su actividad profesional, a causa de sus actos y omisiones en el trabajo, de conformidad con su formación y las instrucciones del empresario. Ello se concreta en que deberán de informar de inmediato a su superior jerárquico directo, y a los trabajadores designados para realizar actividades de protección y de prevención o, en su caso, al servicio de prevención, acerca de cualquier situación que, a su juicio, entrañe, por motivos razonables, un riesgo para la seguridad y la salud de los trabajadores; contribuir al cumplimiento de las obligaciones establecidas por la autoridad competente con el fin de proteger la seguridad y la salud de los trabajadores en el trabajo y cooperar con el empresario para que éste pueda garantizar unas condiciones de trabajo que sean seguras y no entrañen riesgos para la seguridad y la salud de los trabajadores. En el ámbito de la situación actual derivada del covid-19 ello supone que el trabajador deberá informar a su empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo, para que se puedan adoptar las medidas oportunas. El empleador deberá tratar dichos datos conforme al RGPD, debiendo adoptarse las medidas oportunas de seguridad y responsabilidad proactiva que demanda el tratamiento (art. 32 RGPD).

(II) En la letra g), y en la i), que pueden ser examinadas conjuntamente, por cuanto ambas hacen referencia a un interés público, el primero de ellos calificado de “esencial” y el segundo de ellos que hace referencia a un interés público calificado “en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud”, todo ello sobre la base del Derecho de la Unión o de los Estados Miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional

(III) En la letra h), cuando el tratamiento es necesario para realizar un diagnóstico médico, o evaluación de la capacidad de laboral del trabajador o cualquier otro tipo de asistencia de tipo sanitario o para la gestión de los sistemas y servicios de asistencia sanitaria y social.

(IV) Una última circunstancia de cierre que permitiría el tratamiento de datos de salud podría ser incluso la establecida en la letra c), en el caso de que se den las circunstancias previstas en este apartado, que aplicaría cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.

Dentro de estos criterios, por lo tanto, el RGPD ha pretendido dar la mayor libertad posible a los responsables del tratamiento en caso de necesidad para salvaguardar intereses vitales de los interesados o de otras personas físicas, intereses públicos esenciales en el ámbito de la salud pública o cumplimiento de obligaciones legales, dentro de las medidas establecidas en la normativa legal correspondiente del Estado miembro o de la Unión Europea en cada caso aplicable.

II

En consecuencia, en una situación de emergencia sanitaria como a la que se refiere la solicitud de este informe, es preciso tener en cuenta que, en el exclusivo ámbito de la normativa de protección de datos personales, la aplicación de la normativa de protección de datos personales permitiría adoptar al responsable del tratamiento aquellas decisiones que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el cumplimiento de obligaciones legales o la salvaguardia de intereses esenciales en el ámbito de la salud pública, dentro de lo establecido por la normativa material aplicable.

Cuáles sean dichas decisiones, (desde el punto de vista de la normativa de protección de datos personales, se reitera) serán aquellas que los responsables de los tratamientos de datos deban de adoptar conforme a la situación en que se encuentren, siempre dirigida a salvaguardar los intereses esenciales ya tan reiterados. Pero los responsables de tratamientos, al estar actuando para salvaguardar dichos intereses, deberán actuar conforme a lo que las autoridades establecidas en la normativa del Estado miembro correspondiente, en este caso España, establezcan.

Así, el legislador español se ha dotado de las medidas legales necesarias oportunas para enfrentarse a situaciones de riesgo sanitario, como la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020, de 10 de marzo, por el que se adoptan determinadas medidas urgentes en el ámbito económico y para la protección de la salud pública, publicado en el Boletín Oficial del Estado de 11 de marzo de 2020) o la Ley 33/2011, de 4 de octubre, General de Salud Pública. El artículo 3 de la primera de dichas normas señala que:

con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible.

Del mismo modo, los artículos 5 y 84 de la Ley 33/2011, de 4 de octubre, General de Salud Pública se refieren a la anterior Ley orgánica 3/1986, y a la posibilidad de adoptar medidas adicionales en caso de riesgo de transmisión de enfermedades.

Por lo tanto, en materia de riesgo de transmisión de enfermedades, epidemia, crisis sanitarias etc., la normativa aplicable ha otorgado “a las autoridades sanitarias de las distintas Administraciones públicas” (art. 1 Ley Orgánica 3/1986, de 14 de abril) las competencias para adoptar las medidas necesarias previstas en dichas leyes cuando así lo exijan razones sanitarias de urgencia o necesidad.

En consecuencia, desde un punto de vista de tratamiento de datos personales, la salvaguardia de intereses esenciales en el ámbito de la salud pública corresponde a las distintas autoridades sanitarias de las diferentes administraciones públicas, quienes podrán adoptar las medidas necesarias para salvaguardar dichos intereses esenciales públicos en situaciones de emergencia sanitaria de salud pública.

Serán estas autoridades sanitarias competentes de las distintas administraciones públicas quienes deberán adoptar las decisiones necesarias, y los distintos responsables de los tratamientos de datos personales deberán seguir dichas instrucciones, incluso cuando ello suponga un tratamiento de datos personales de salud de personas físicas. Lo anterior hace referencia, expresamente, a la posibilidad de tratar los datos personales de salud de determinadas personas físicas por los responsables de tratamientos de datos personales, cuando, por indicación de las autoridades sanitarias competentes, es necesario comunicar a otras personas con las que dicha persona física ha estado en contacto la circunstancia del contagio de esta, para salvaguardar tanto a dichas personas físicas de la posibilidad de contagio (intereses vitales de las mismas) cuanto para evitar que dichas personas físicas, por desconocimiento de su contacto con un contagiado puedan expandir la enfermedad a otros terceros (intereses vitales de terceros e interés público esencial y/o cualificado en el ámbito de la salud pública).

Del mismo modo, y en aplicación de lo establecido en la normativa de prevención de riesgos laborales, y de medicina laboral, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que estas normas establecen, los datos de sus empleados necesarios para garantizar la salud de todos sus empleados, lo que incluye igualmente al resto de empleados distintos del interesado, para asegurar su derecho a la protección de la salud y evitar contagios en el seno de la empresa y/o centros de trabajo.

III

Ahora bien, los tratamientos de datos personales en estas situaciones de emergencia sanitaria, como se ha mencionado al principio de este informe, siguen siendo tratados de conformidad con la normativa de protección de datos personales (RGPD y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, LOPDGDD), por lo que se aplican todos sus principios, contenidos en el artículo 5 RGPD, y entre ellos el de tratamiento de los datos personales con licitud, lealtad y transparencia, de limitación de la finalidad (en este caso, salvaguardar los intereses vitales/esenciales de las personas físicas), principio de exactitud, y por supuesto, y hay que hacer especial hincapié en ello, el principio de minimización de datos. Sobre este último aspecto hay que hacer referencia expresa a que los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a cualesquiera otros datos personales no estrictamente necesarios para dicha finalidad, sin que pueda confundirse conveniencia con necesidad, porque el derecho fundamental a la protección de datos sigue aplicándose con normalidad, sin perjuicio de que, como se ha dicho, la propia normativa de protección de datos personales establece que en situaciones de emergencia, para la protección de intereses esenciales de salud pública y/o vitales de las personas físicas, podrán tratarse los datos de salud necesarios para evitar la propagación de la enfermedad que ha causado la emergencia sanitaria.

Respecto del principio de limitación de la finalidad en relación con supuestos de tratamientos de datos de salud por razones de interés público, el Considerando (54) RGPD es claro, cuando establece que:

El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. […] Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines.

24Ene/20

Circular 1/2019, de 7 de marzo, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales

Circular 1/2019, de 7 de marzo, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales relativos a opiniones políticas y envío de propaganda electoral por medios electrónicos o sistemas de mensajería por parte de partidos políticos, federaciones, coaliciones y agrupaciones de electores al amparo del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General. («BOE» núm. 60, de 11 de marzo de 2019)

(Texto consolidado con la última modificación de 25 de junio de 2019, por la Sentencia del TC 76/2019, de 22 de mayo, por la que se declara contrario a la Constitución y nulo el apartado 1 del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del régimen electoral general).

La recopilación y tratamiento de datos por parte de las organizaciones políticas con fines de comunicación política junto con el uso de técnicas modernas como el big data y la inteligencia artificial han generado un amplio debate y preocupación respecto a los límites que deben aplicarse, entre los que se encuentra el derecho a la protección de datos de carácter personal.

De ahí que ya en la 27 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad celebrada en Montreux (Suiza), de 14 al 16 de septiembre de 2005, se aprobara la «Resolución sobre el Uso de Datos Personales para la Comunicación Política». En los últimos años dicha preocupación se ha incrementado, singularmente al hacerse públicos determinados casos de tratamiento ilícito de datos personales para influir en la opinión política de los votantes como el de Cambridge Analytica, lo que ha dado lugar a que diferentes autoridades nacionales de protección de datos hayan emitido sus criterios restrictivos al respecto. El 6 de marzo de 2014, la Autoridad Italiana de Protección de Datos (Garante para la Protezione dei Dati Personali) emitió su documento «Provvedimento in materia de trattamento di dati presso i partiti politici e di esonero dall`informativa per fini di propaganda elettorale». En noviembre de 2016 lo hizo la Autoridad francesa (Commission Nationale de l’Informatique et des Libertés) con, entre otros, el título «Communication politique: quelles sont les règles pour l’utilisation des données issues des réseaux sociaux?».

Y en abril de 2017 la Autoridad británica (Information Commissioner´s Office) aprobó su «Guidance on political campaigning».

Asimismo, el Supervisor Europeo de Protección de Datos emitió el 18 de marzo de 2018 su Opinión 3/2018 sobre «manipulación online y datos personales («EDPS Opinion on online manipulation and personal data») y la Comisión Europea, ante la proximidad de las elecciones al Parlamento Europeo, el pasado 12 de septiembre de 2018 aprobó su guía sobre la aplicación de la normativa europea de protección de datos en el contexto electoral («Commission guidance on the application of Union data protection law in the electoral context»).

Todos estos documentos muestran su preocupación sobre el uso del big data, la inteligencia artificial y la aplicación del microtargeting en los procesos electorales y que pueden llevar a la manipulación de las personas mediante la realización de perfilados exhaustivos y el fenómeno de las «fake-news» o «desinformación online». Por eso coinciden en la necesidad de garantizar la aplicación de la normativa de protección de datos en el contexto electoral.

Por su parte, el legislador español, a través de la disposición final tercera de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que entró en vigor el pasado 7 de diciembre, ha modificado la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General (LOREG), introduciendo el artículo 58 bis con el fin de regular específicamente la recopilación y tratamiento de opiniones políticas por los partidos políticos así como el envío de propaganda electoral con el siguiente contenido:

«Artículo 58 bis. Utilización de medios tecnológicos y datos personales en las actividades electorales.

1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.

2. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.

3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.

4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.

5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.»

El tratamiento de datos personales por parte de los partidos políticos, así como por el resto de sujetos que pueden presentar candidaturas en los procesos electorales, queda sujeto a la normativa general sobre protección de datos personales, actualmente constituida por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales incluida la modificación que ésta última ha hecho de la LOREG.

El informe del Gabinete Jurídico de esta Agencia de 19 de diciembre de 2018 ya destacaba que dicho precepto debía ser objeto de interpretación restrictiva al tratarse de una excepción al tratamiento de las categorías especiales de datos personales basado en el interés público que se ampararía en la letra g) del artículo 9.2 del RGPD. Además, el interés público actuaría como fundamento pero también como límite. Por tanto, la aplicación del mismo debe interpretarse siempre en el sentido más favorable a la consecución de dicho interés público, por lo que en ningún caso podrá amparar tratamientos, como el microtargeting, que puedan ser contrarios a los principios de transparencia y libre participación que caracterizan a un sistema democrático.

Por otro lado, el legislador español ha hecho uso de la habilitación que concede el artículo 9.2.a) del RGPD disponiendo en el artículo 9.1. de la Ley Orgánica 3/2018 que «el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico». Por consiguiente, si el legislador español ha otorgado mayor protección a los datos relacionados con la ideología y al mismo tiempo ha establecido como única excepción al tratamiento de las opiniones políticas la contemplada en el citado artículo 58 bis de la LOREG, ha de ser objeto de interpretación restrictiva.

Asimismo, dicha interpretación restrictiva vendría avalada por la necesidad de que el artículo 58 bis sea interpretado conforme a lo establecido en la Constitución española y de modo que no conculque derechos fundamentales, como el derecho a la protección de datos de carácter personal reconocido en el artículo 18.4, el derecho a la libertad ideológica del artículo 16, la libertad de expresión e información del artículo 20 o el derecho a la participación política del artículo 23.

Por otro lado, el artículo 9.2.g) del RGPD requiere que se establezcan medidas adecuadas y específicas para proteger los intereses y derechos fundamentales de los afectados. Dichas garantías adquieren una especial relevancia tanto por la importancia de los datos personales objeto de tratamiento como por tratarse de tratamientos a gran escala de categorías especiales de datos que entrañarán un alto riesgo para los derechos y libertades de las personas físicas difícilmente mitigable si no se toman medidas adecuadas.

Precisamente por la existencia de un alto riesgo para los derechos y libertades de las personas físicas dichas garantías, al no haberse establecido por el legislador, deben identificarse por esta Agencia Española de Protección de Datos, en cumplimiento de las funciones de interpretación y aplicación de la normativa de protección de datos que le atribuyen los artículos 57 y 58 del RGPD, entre las que destacan las relativas a la evaluación de impacto, la consulta previa a la AEPD o la adopción de las oportunas medidas de seguridad. Todo ello sin perjuicio de cualquier otra que estime el responsable del tratamiento y las que puedan exigir otros órganos en el ámbito de sus competencias, como la Junta Electoral Central, el Tribunal de Cuentas, el Ministerio del Interior y, en último término, el Tribunal Constitucional.

Con la finalidad de fijar los criterios a los que responderá la actuación de esta autoridad en la aplicación de la normativa sobre protección de datos de carácter personal y de conformidad con lo dispuesto en los artículos 48.1 y 55 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, dispongo:

Artículo 1. Ámbito objetivo.

La presente Circular se aplica al tratamiento de datos personales relativos a opiniones políticas por los partidos políticos al amparo del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.


Artículo 2. Sujetos legitimados para realizar el tratamiento.

1. Se encuentran legitimados para el tratamiento de los datos objeto de la presente circular, en el ámbito de la circunscripción que se corresponda con el proceso electoral al que se presenten, los partidos políticos, federaciones, coaliciones y agrupaciones de electores que presenten las correspondientes candidaturas y resulten proclamadas conforme a los artículos 43 y siguientes de la LOREG.

2. Dichos sujetos ostentarán la condición de responsables del tratamiento conforme al artículo 4.7) del RGPD.

3. El tratamiento de los datos podrá encomendarse a otro sujeto en calidad de encargado del tratamiento quien deberá ajustarse estrictamente a las instrucciones del responsable y previa suscripción del contrato previsto en el artículo 28 del RGPD.

4. Dichos datos no podrán ser comunicados ni transferidos a terceros.

Artículo 3. Base jurídica del tratamiento.

Solo será posible el tratamiento de datos personales que se refieran a opiniones políticas por los partidos políticos conforme al artículo 58 bis de la LOREG cuando concurra un interés público esencial conforme al artículo 9.2.b) del RGPD y se adopten las garantías adecuadas previstas en el artículo 7 de esta circular.

Los partidos políticos podrán tratar otro tipo de datos personales siempre que concurra alguna de las bases jurídicas del artículo 6 del RGPD y tratándose de categorías especiales, otra de las excepciones del artículo 9.2 RGPD, salvo el consentimiento del interesado conforme al artículo 9.1 de la Ley Orgánica 3/2018.

Artículo 4. Marco en el que se habilita el tratamiento.

1. El tratamiento de los datos al amparo del artículo 58 bis de la LOREG solo será lícito durante el periodo electoral y respecto de las actividades de propaganda y actos de campaña electoral reguladas en la sección 5.ª del capítulo VI del título I de la LOREG.

2. El responsable deberá determinar la finalidad o finalidades que se persiguen con el tratamiento, que en todo caso deberán guardar relación con su actividad electoral conforme a lo señalado en el apartado anterior.

Artículo 5. Datos personales que pueden ser objeto de tratamiento.

1. Solo podrán ser objeto de recopilación las opiniones políticas de las personas libremente expresadas por éstas en el ejercicio de sus derechos a la libertad ideológica y a la libertad de expresión reconocidos en los artículos 16 y 20 de la Constitución española.

2. En ningún caso podrán ser objeto de tratamiento otro tipo de datos personales a partir de los que, aplicando tecnologías como las de tratamiento masivo de datos o las de inteligencia artificial, se puede llegar a inferir la ideología política de una persona.

3. Las únicas fuentes de las que se pueden obtener los datos personales sobre opiniones políticas son las páginas web y aquellas otras fuentes que sean de acceso público. Se entiende por fuentes de acceso público aquellas cuya consulta puede ser realizada por cualquier persona, quedando excluidas otro tipo de fuentes en las que el acceso está restringido a un círculo determinado de personas.

4. El tratamiento de cualquier otro tipo de datos personales u obtenidos de otras fuentes por los sujetos legitimados deberá ampararse en alguna de las bases legitimadoras del artículo 6 del RGPD y encontrarse en alguna de las excepciones del artículo 9.2 RGPD si se trata de categorías especiales de datos.

Artículo 6. Actividades de tratamiento.

1. Corresponderá al responsable determinar las actividades de tratamiento a realizar conforme al artículo 4.2) del RGPD que, en todo caso, deberán ser proporcionales al objetivo perseguido consistente en garantizar el adecuado funcionamiento de un sistema democrático, sin que sean admisibles tratamientos no proporcionales como el microtargeting ni los que tengan por finalidad forzar o desviar la voluntad de los electores. Tratándose de datos personales relativos a opiniones políticas, estos solo podrán ser objeto de recopilación conforme a lo previsto en el artículo 58 bis de la LOREG y el artículo 1 de esta Circular.

2. Si se pretende la elaboración de perfiles se deberá ser especialmente riguroso con el nivel de detalle y la exhaustividad del mismo, siendo admisible únicamente la elaboración de perfiles generales y por categorías genéricas, pero no la realización de perfiles individuales o realizados atendiendo a categorías muy específicas, de tal manera que sólo se puedan deducir patrones de conducta generales de la población de forma agregada, pero no de titulares de datos personales concretos. 3. En todo caso, resultarán de aplicación al tratamiento todos los principios recogidos en el artículo 5 del RGPD.

Artículo 7. Garantías adecuadas.

1. Conforme a lo previsto en el artículo 9.2.g) del RGPD tendrán la consideración de medidas adecuadas y específicas para proteger los intereses y derechos fundamentales de los afectados, en todo caso, las siguientes, sin perjuicio de cualquier otra que estime el responsable del tratamiento y las que puedan exigir otros órganos en el ámbito de sus competencias:

1.º Atendiendo al principio de responsabilidad desde el diseño y por defecto previsto en el artículo 25 del RGPD, deberán adoptarse, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, e incluso la agregación y anonimización. Además, deberá garantizarse que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento y que no serán accesibles, sin intervención de la persona, a un número indeterminado de personas.

2.º Será obligatorio designar a un delegado de protección de datos conforme a lo previsto en el artículo 37.1.c) del RGPD, al realizarse un tratamiento a gran escala de categorías especiales de datos personales. El delegado de protección de datos desempeñará las funciones que le atribuyen el artículo 39 del RGPD y los artículos 36 y 37 de la LOPDPGDD con especial diligencia atendiendo al alto riesgo asociado a estos tratamientos.

3.º Deberá llevarse un registro de las actividades de tratamiento con el contenido señalado en el artículo 30 del RGPD, debiendo ser precisos y claros, conforme a los principios de lealtad y transparencia, en la descripción de los fines del tratamiento, y de las categorías de interesados y de datos personales objeto de tratamiento. La llevanza de dicho registro resultará en todo caso obligatoria al incluir categorías especiales de datos personales del artículo 9.

4.º Se deberá realizar una evaluación de impacto relativa a la protección de datos al realizarse un tratamiento a gran escala de las categorías especiales de datos conforme a lo dispuesto en el artículo 35.3 del RGPD.

5.º Deberá consultarse a la AEPD antes de proceder al tratamiento conforme al artículo 36.1 del RGPD al tratarse de tratamientos que entrañan un alto riesgo, a no ser que el responsable justifique la adopción de medidas para mitigarlo. En este último caso deberá remitirse a la AEPD el análisis de riesgos y la evaluación de impacto junto a la justificación de las medidas adoptadas, al amparo de lo previsto en el artículo 58.1. a) y e) del RGPD. La solicitud de consulta a la AEPD o, en su defecto, la remisión de la documentación anteriormente indicada, deberá realizarse al menos 14 semanas antes del inicio del periodo electoral.

6.º Deberán adoptarse las medidas de seguridad necesarias conforme a lo previsto en el artículo 32 del RGPD, que deberán ser lo más rigurosas que permita el estado de la técnica teniendo en cuenta que se están tratando datos referentes a las opiniones políticas cuyo tratamiento es excepcional y que suponen un alto riesgo para los derechos y libertades de las personas físicas.

7.º Cuando el tratamiento se vaya a realizar por un encargado del tratamiento, deberá seleccionarse uno que ofrezca garantías suficientes y haberse suscrito un contrato con el contenido del artículo 28 del RGPD, en el que deberá quedar plenamente garantizado que el encargado actuará solo siguiendo instrucciones del responsable, debiendo dichas instrucciones contemplar todas las garantías adecuadas a las que se hace referencia en la presente circular.

8.º Deberá facilitarse, de un modo sencillo y gratuito, el ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento y oposición, conforme a lo previsto en el artículo 12 del RGPD y, en cuanto al derecho de oposición, conforme a lo previsto en el apartado 5 del artículo 58 bis de la LOREG.

9.º En el caso de que se pretenda obtener los datos de terceros que no actúen como encargados del tratamiento, el responsable deberá comprobar que dichos datos fueron obtenidos de manera lícita y cumpliendo con todos los requisitos del RGPD, especialmente que el tercero tiene una legitimación específica para obtener y tratar dichos datos y que ha informado expresamente a los afectados de la finalidad de cesión a los partidos políticos, cumpliendo de este modo con el principio general de responsabilidad proactiva consagrado en el artículo 5.2 del RGPD, y singularmente para actuar conforme a lo previsto en sus artículos 24 y 25.

10.º El responsable deberá cumplir con lo dispuesto en el artículo 22 del RGPD si los afectados van a ser objeto de decisiones automatizadas, incluida la elaboración de perfiles, siempre que el tipo de tratamiento que prevea, por sus características y teniendo en cuenta de nuevo la naturaleza de los datos tratados, pueda afectar significativamente a los ciudadanos.

2. El responsable del tratamiento y, en su caso, el encargado, deberán ser capaces de acreditar documentalmente la adopción de las anteriores garantías.

Artículo 8. Deber de información.

1. En todo caso deberá cumplirse con el deber de información previsto en los artículos 13 y 14 del RGPD, que deberá realizarse en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo de acuerdo con el artículo 12 del RGPD, siendo de aplicación lo previsto en el artículo 11 de la Ley Orgánica 3/2018.

2. Cuando se considere que la comunicación individual de dicha información a los afectados resulta imposible o suponga un esfuerzo desproporcionado, deberá facilitarse en forma electrónica en el sitio web del responsable, así como en las cuentas que tenga en redes sociales y servicios equivalentes.

3. Del mismo modo, cuando el responsable pretenda obtener los datos de un tercero, deberá comprobar que dicho tercero ha cumplido con su obligación de informar sobre los mismos extremos a los afectados, al menos de forma electrónica según lo indicado en al apartado anterior.

Artículo 9. Momento en el que deberán adoptarse las garantías adecuadas.

1. Antes del comienzo del periodo electoral los responsables que vayan a presentar las correspondientes candidaturas podrán realizar las actuaciones necesarias para preparar los tratamientos que vayan a desarrollar en el periodo electoral, conforme a las obligaciones señaladas en los artículos anteriores, pero sin poder iniciar los tratamientos. En especial, las relativas al registro de actividades, evaluación de impacto, consulta previa, designación del delegado de protección de datos si no lo hubieran designado con anterioridad y la celebración, en su caso, del contrato de encargado del tratamiento.

2. Durante el periodo electoral podrá iniciarse el tratamiento, debiendo en primer lugar cumplir con la obligación de información conforme al artículo 8 y velar por el cumplimiento de la normativa de protección de datos. En el caso de que los sujetos que hayan presentado candidaturas no resulten proclamados, deberá interrumpirse inmediatamente el tratamiento y procederse a la supresión de los datos conforme al apartado siguiente.

3. Terminado el periodo electoral deberá garantizarse la supresión de los datos personales conforme a lo establecido en la ISO 27001:2013 «Seguridad de la información» y la Norma UNE- EN15713:2010 «Destrucción del Material Confidencial. Código de Buenas Prácticas», o cualquier otra metodología de reconocido prestigio para la destrucción de la información debidamente documentada, procediéndose al bloqueo de los mismos cuando proceda de conformidad con el artículo 32 de la Ley Orgánica 3/2018.

Artículo 10. Violación de la seguridad de los datos personales que se refieran a opiniones políticas.

1. En caso de violación de la seguridad de los datos personales que se refieran a opiniones políticas, el responsable del tratamiento deberá notificarlo, en todo caso, a la Agencia Española de Protección de datos conforme al artículo 33 del RGPD al constituir un riesgo para los derechos y libertades de las personas físicas.

2. Asimismo, deberá comunicarlo a los afectados salvo que se cumpla alguna de las condiciones del artículo 34.3 del RGPD.

Artículo 11. Envío de propaganda electoral por medios electrónicos o sistemas de mensajería y contratación de propaganda electoral en redes sociales o medios equivalentes.

1. Conforme al apartado 3 del artículo 58 bis el envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.

2. Los datos personales que vayan a ser utilizados por los partidos políticos, federaciones, coaliciones o agrupaciones de electores para el envío de propaganda electoral tales como números de teléfono, correo electrónico u otros similares deberán haber sido obtenidos lícitamente, amparados en alguna de las bases jurídicas del artículo 6 del RGPD y deberán corresponder a personas que puedan ejercer su derecho al voto en el ámbito de la circunscripción que se corresponda con el proceso electoral al que se presenten

3. En todo caso, en los envíos que se realicen deberá constar su carácter electoral y la identidad del remitente. Asimismo, deberá facilitarse de un modo sencillo y gratuito el ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento y oposición, con especial atención en el caso de este último, conforme al apartado 5 del artículo 58 bis de la LOREG.

En caso de ejercicio del derecho de oposición, los datos personales dejarán de ser tratados para el envío de propaganda electoral mientras el afectado no preste su consentimiento expreso.

Disposición transitoria única. Consulta previa a la AEPD o remisión de la documentación prevista en el artículo 7.1. 5.º en los procesos electorales previstos para el 28 de abril y el 26 de mayo de 2019.

En los procesos electorales previstos para el 28 de abril y el 26 de mayo de 2019 la consulta previa o la remisión de la documentación a la que se refiere el artículo 7. 1. 5.º de la presente Circular deberá realizarse, en su caso, con una antelación mínima de tres semanas al inicio de la campaña electoral, debiendo emitirse el correspondiente informe o adoptarse las medidas oportunas con anterioridad al inicio de la misma.

Disposición final. Entrada en vigor.

La presente Circular entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».

Madrid, 7 de marzo de 2019

La Directora de la Agencia Española de Protección de Datos,

Mar España Martí.

14Feb/18

Curso Especialista Data Protection Officer

La Escuela Superior de Ciberseguridad de Áudea, lanza la segunda convocatoria presencial del curso Especialista DPO (Data ProtectionOfficer).

 

ES-CIBER, la Escuela Superior de Ciberseguridad de Áudea, celebra la segunda convocatoria presencial en Madrid del Curso Especialista DPO, la nueva figura dentro del Reglamento Europeo de Protección de Datos, y lo hace con contenidos propios y  adaptados al Esquema de Certificación de la Agencia Española de Protección de Datos (Esquema AEPD – DPD).

El término DPO viene del inglés, Data Protection Officer, y en español también se le conoce como Delegado de Protección de Datos o DPD. Es una figura que ha nacido a raíz de la entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD) en abril de este año.

Y es que la normativa europea obliga al responsable del fichero y al encargado del tratamiento a designar a un DPO cuando se traten datos en organismos públicos, entidades que requieran una observación habitual y sistemática o se traten datos a gran escala especialmente sensibles.

Sus funciones son fundamentalmente informar y asesorar al responsable o al encargado y demás personas que manejen datos en la organización de las obligaciones a las que están sujetos, velar por el cumplimiento de la normativa en materia de Protección de Datos y cooperar con la autoridad de control (en nuestro país, la Agencia Española de Protección de Datos).

El curso tendrá una extensión de 24 horas y se celebrará durante el mes de marzo en horario de 08:30 a 14:30 los días jueves 15-viernes 16 y jueves 22- viernes 23. El itinerario que se seguirá es el siguiente:

 

MÓDULO 1: NORMATIVA GENERAL 1º PARTE

  • Introducción: Esquema Certificación
  • Contexto normativo
  • Fundamentos RGPD
  • Principios RGPD
  • Legitimación del tratamiento
  • Derechos de los individuos
  • Medidas de cumplimiento

MÓDULO 2: NORMATIVA GENERAL 2º PARTE

  • Responsabilidad proactiva
  • Delegados de protección de datos
  • Transferencias internacionales
  • Autoridades de control
  • Directrices de interpretación
  • Normativas sectoriales afectadas
  • Normativa Española
  • Normativa Europea

MÓDULO 3: RESPONSABILIDAD ACTIVA

  • Introducción al riesgo
  • Gestión de riesgos ISO 31000
  • Gestión de riesgos MAGERIT
  • Metodologías del riesgo
  • Evaluación de impacto “EIPD”
  • Cumplimiento de protección de datos
  • Seguridad de la información

MÓDULO 4: TÉCNICAS DE CUMPLIMIENTO

  • Introducción a la auditoría
  • Auditoria de Protección de Datos
  • Auditoria de sistemas de información
  • Introducción a un SGSI
  • Gestión de un SGSI con ISO 27001
  • Medidas de seguridad del ENS
  • Continuidad de Negocio
  • Otros conocimientos

 

Una vez finalizado el curso y superado el examen, ES-CIBER y TÜV NORD te harán entrega de un diploma que certifique tu asistencia y superación del mismo.

Las plazas son limitadas, reserva tu plaza antes del 15 de febrero y tendrás un 10% de descuento.