Nueva Ley reguladora de los servicios electrónicos de confianza

Nueva Ley reguladora de los servicios electrónicos de confianza

Tras su publicación en el BOE entra en vigor la nueva Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, que deroga entre otras disposiciones la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Los servicios de confianza se definen como son los servicios electrónicos prestados habitualmente a cambio de una remuneración, consistentes en la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios, certificados para la autenticación de sitios web, y la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios.

Esta Ley tiene por objeto regular los servicios electrónicos de confianza, realizados por prestadores públicos y privados establecidos en España, y a los residentes en otro Estado miembro que tengan un establecimiento permanente situado en España, como complemento del Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014.

En concreto, la Ley regula aspectos como los certificados electrónicos, la protección de los datos personales, las obligaciones y responsabilidades de los prestadores, los mecanismos de supervisión y control y el régimen sancionador para los infractores.

¿Aerolínea o pasajero?

¿Aerolínea o pasajero?

La entrada en vigor la Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del Registro de Nombres de Pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves, supone la transposición de la normativa europea sobre el tratamiento de los datos PNR “Passenger Name Record” o Registro de Nombres de los Pasajeros en Castellano.

Esta nueva normativa, cuya finalidad es elevar los niveles de seguridad de los ciudadanos ante el incremento de amenaza del crimen organizado y terrorismo, tiene especial importancia desde la perspectiva de la protección de datos.

La normativa obliga a las aerolíneas y a las entidades de gestión de reserva de vuelos a la transmisión de datos PNR mediante 2 envíos, uno entre 48 y 24 horas antes de la salida del vuelo, y el segundo una vez cerrado el vuelo (nadie pueda entrar en el avión ni abandonarlo). Además, si durante el vuelo se produjera alguna modificación en el destino, también deberá ser transmitidos. Cuando se produzca una amenaza real y concreta será necesario acceder a los datos PNR en momentos distintos a los anteriores, en concreto, las compañías aéreas deberán transmitir dichos datos con carácter inmediato cuando reciban un requerimiento.

Por lo tanto, las aerolíneas u entidades de gestión de reserva de vuelos se sitúan como los obligados a enviar los datos PNR de los pasajeros, los cuales a su vez podrían ver afectados sus derechos por la transmisión de dichos datos.

Desde Rerum Legis Abogados recomendamos una revisión de la documentación, protocolos de información y el adecuado tratamiento de los datos en el caso de aerolíneas u entidades de gestión de reserva de vuelos. Y por el otro lado, a los pasajeros que se informen de sus derechos respecto al tratamiento de sus datos.

Nueva incertidumbre en las transferencias internacionales de datos entre la Unión Europea y Estados Unidos: Anulación del Privacy Shield

Nueva incertidumbre en las transferencias internacionales de datos entre la Unión Europea y Estados Unidos: Anulación del Privacy Shield

El Tribunal de Justicia de la Unión Europea (TJUE) anula el Escudo de Privacidad (Privacy Shield), marco que permitía las transferencias internacionales de datos entre la Unión Europea /U.E.) y Estados Unidos.

Ya en el año 2015, se declaró nula la decisión que permitía las transferencias internacionales para aquellas empresas estadounidenses que se hubieran adherido a los “Principio de Puerto Seguro” (Safe Harbol Framework), al considerar que el gobierno y agencias de seguridad americanas accedían a los datos sin respetar las garantías y derechos fundamentales reconocidos en U.E. (sin limitarse a lo estrictamente necesario).

Sin embargo, en el año 2016, la Comisión Europea adoptó una decisión que declaraba válidas las transferencias de datos personales entre la U.E. y EE. UU., siempre que la empresa receptora de datos estuviera adherida a un sistema de control denominado “Escudo de Privacidad”, lo que volvía a facilitar las transferencias internacionales de una forma sencilla y fluida.

Desde ahora para realizar transferencias internacionales de datos será necesario firmar las “Cláusulas Contractuales Tipo de la Comisión Europea”, un documento que deben firmar ambas partes, con anterioridad a cualquier transferencia, o solicitar autorización previa a la autoridad de control.

Desde Rerum Legis Abogados les recordamos que el incumplimiento del RGPD (transfiriendo datos personales a EEUU sin garantías adecuadas), puede suponer sanciones de hasta los 20 millones de euros o el 4% de su volumen de facturación anual.

¿Es obligatorio nombrar un Delegado de Protección de Datos (DPD/DPO)?

¿Es obligatorio nombrar un Delegado de Protección de Datos (DPD/DPO)?

Ante las últimas sanciones de la Agencia Española de Protección de Datos (AEPD) por no contar con un Delegado de Protección de Datos (DPD/DPO) a entidades tanto privadas como públicas, creemos conveniente realizar un breve repaso de la figura.

Esta figura, conocida popularmente como DPO (en inglés, Data Protection Officer), constituye uno de los elementos claves del RGPD. Un DPO es una persona, física o jurídica, interna o externa a la empresa, debe contar con conocimientos especializados en Derecho, y en concreto de protección de datos (no se le exige estar certificado), debe actuar de forma independiente, y al que se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte de la empresa (responsable o encargado).

En cuanto a su obligatoriedad podemos decir que la normativa europea exige, en el artículo 37.1 del RGPD, que se designe un Delegado de Protección de Datos en tres supuestos específicos:

  • Se trate de una autoridad u organismo público;
  • Las actividades consisten en operaciones de tratamiento que requieran una observación habitual y sistemática a gran escala.
  • Las actividades principales consistan en tratamiento a gran escala de categorías especiales de datos y de datos de condenas penales.

A su vez, la LOPD-GDD establece una lista de casos en los que es obligatorio nombrar un DPO.

  • Colegios profesionales y sus consejos generales,
  • Centros docentes,
  • Entidades que exploten redes y presten servicios de comunicaciones electrónicas,
  • Prestadores de servicios de la sociedad de la información,
  • Entidades de crédito,
  • Establecimientos financieros,
  • Entidades aseguradoras y reaseguradoras,
  • Empresas de servicios de inversión,
  • Distribuidores y comercializadores de energía eléctrica y de gas natural,
  • Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito de ficheros comunes para la gestión y prevención del fraude (Blanqueo de capitales),
  • Entidades que desarrollen actividades de publicidad y prospección comercial,
  • Centros sanitarios,
  • Entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas,
  • Operadores que desarrollen la actividad del juego, y
  • Empresas de seguridad privada.

Pero debemos advertir que esta lista no excluye otros posibles casos que se encuentren dentro de las características del artículo 37 del RGPD.

En cualquier caso, todas las entidades podrán designar un Delegado de Protección de Datos de forma voluntaria, tal y como prevé la LOPD-GDD, en su artículo 34 apartado 2.

¿Necesitas contratar un DPO? En Rerum Legis estamos a su disposición.

¿Cómo afecta el Coronavirus a tu privacidad?

¿Cómo afecta el Coronavirus a tu privacidad?

El pasado 13 de marzo la Agencia Española de Protección de Datos (AEPD) publicó un informe (descargar informe completo) en el que analiza el tratamiento de datos personales, como resultado al virus COVID-19.

Del informe se desprende, que en estos momentos de crisis sanitaria, los empresarios están legitimados a conocer los datos de salud de sus trabajadores. El tratamiento de datos, aun sin consentimiento del trabajador, se ampara en varias excepciones recogidas en el Reglamento Europeo de protección de datos (RGPD). Aun así, las empresas deberán continuar con las obligaciones de privacidad establecidas en el RGPD y la LOPD-GDD al tratar dichos datos, aplicando todos sus principios, y adoptando las medidas oportunas de seguridad y responsabilidad proactiva.

Por ello, en el ámbito de la situación actual derivada del covid-19, el trabajador deberá informar a su empleador en caso de sospecha de contacto con el virus, para proteger, además de su propia salud, la de los demás trabajadores del centro de trabajo.