Novetats en matèria de cookies

Posem en el vostre coneixement que el proper dia 31 d’octubre, acaba el termini per posar al dia la política de cookies de les webs, tal com disposa l’Agència Espanyola de Protecció de Dades (AEPD).

  • Les cookies són petits fitxers de dades que es col·loquen al dispositiu de l’usuari i permeten l’emmagatzematge d’informació relacionada amb la navegació que s’estigui fent al moment. 
  • Hi han diferents tipus de cookies, que es poden agrupar en dos grans grups:
    • “Cookies necessàries”. Són les imprescindibles per fer funcionar la pàgina. Per exemple, cookies tècniques, que permeten a l’usuari navegar  per una pàgina web, plataforma o aplicació i fer servir les diferents opcions i serveis que ofereixi la pàgina.
    • “Cookies que no son necessàries”. Són les que proporcionen informació al titular de la web, però que, encara que l’usuari no accepti l’ús,  la web pot seguir funcionant correctament. Per exemple, les publicitàries, les que emmagatzemen informació del comportament dels usuaris obtinguda mitjançant l’observació continuada dels hàbits de navegació, el que permet desenvolupar un perfil específic per a mostrar publicitat en funció de la navegació que es faci.
  • Per fer servir cookies que  no  siguin necessàries, és obligatori obtenir el consentiment exprés de l’usuari.  
  • Tot i no estar obligats a complir els requisits d’informació i de consentiment, l’AEPD recomana informar de manera genèrica de l’ús de “Cookies” necessàries.
  • Els avisos de les “Cookies” han de ser ben visibles i fàcilment accessibles.
  • L’usuari ha de donar el seu consentiment, de forma clara i informada ( expressa i precisa. Seguir navegant per la web, no representa que es doni el consentiment tàcit). 
  • La informació es pot donar en dues capes: 
  • La primera, ha de contenir informació de les “Cookies” i les caselles d’acceptació;
  • La segona, ha de contenir la tipologia i l’ús de les cookies en més profunditat.
  • L’avís de “Cookies” pot contenir una casella d’acceptació i una de configuració (1ª capa). Si es prem la part de configuració s’ha de mostrar una capa on s’ha d’explicar l’ús que fa la web de cada cookie i, en el cas de les Cookies que no son necessàries, s’ha d’incloure la possibilitat de marcar que es consent que es facin servir.
  • A “configuració”, les cookies no poden aparèixer seleccionades de manera predeterminada a favor del responsable de la web.
  • Si no es seleccionen  “Cookies” en la configuració, vol dir que es rebutgen.
  • Si la web  denega total o parcialment el servei o l’accés a la web perquè  no s’ha acceptat la utilització de les cookies, cal informar degudament l’usuari i oferir-li una alternativa d’accés al servei sense necessitat d’acceptar les “Cookies”. 

Comentario a las directices sobre el consentimiento regulado en el Reglamento General de Protección de Datos

Directrices 03/2020 sobre el tratamiento de datos relativos a la salud con fines de investigación científica en el contexto del brote de COVID-19 Adoptadas el 21 de abril de 2020 

El 4 de mayo, el Comité Europeo de Protección de Datos publicó sus Directrices sobre el consentimiento, y afectó el contenido de la última “Guía sobre el uso de las cookies” publicada por la Agencia Española de Protección de Datos (AEPD).

El consentimiento es “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. El consentimiento debe ser una decisión reversible y que el interesado pueda tener un grado de control sobre el mismo.

1.- REQUISITOS PARA OTORGAR VÁLIDAMENTE EL CONSENTIMIENTO EN MATERIA DE TRATAMIENTO DE INFORMACIÓN SOBRE PERSONAS FÍSICAS IDENTIFICADAS O IDENTIFICABLES.

Consentimiento ha de ser libre o prestado libremente: No se considera válido el consentimiento prestado si el interesado no tiene poder de decisión, se siente obligado a consentir, o soporta consecuencias negativas en caso de no prestarlo. Igualmente, no se considera prestado libremente si el interesado es incapaz de rechazar o de retirar su consentimiento cuando lo precise. Esto implica que cualquier elemento de presión o influencia inapropiada sobre el interesado, hará que el consentimiento no se considere válidamente otorgado.  

Capacidad y posibilidad efectiva de elegir libremente la finalidad del tratamiento: se considera que el consentimiento se ha prestado válidamente si el interesado es capaz de ejercer una elección real, en la que no haya riesgo de engaño, intimidación, coacción o aplicación de consecuencias negativas en caso de que no lo preste.

Condicionalidad: el consentimiento ha de prestarse de forma que no pueda convertirse en la contraprestación de un contrato.

Granularidad: los interesados deben tener la libertad de elegir qué finalidad aceptan, en lugar de tener que consentir un paquete de finalidades de tratamiento. En este sentido, el Considerando 43 del RGPD aclara que se presume que el consentimiento no se da de forma libre si el proceso para obtenerlo no permite a los interesados dar su consentimiento por separado. A su vez, el considerando 32 establece que el consentimiento debe abarcar todas las actividades de tratamiento realizadas con la misma finalidad. Si el consentimiento se tiene que dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara y concisa de modo que no perturbe innecesariamente el uso del servicio para el que se presta.

Sin perjuicios para el interesado: el responsable del tratamiento debe demostrar que el interesado puede denegar o retirar el consentimiento prestado y que lo puede hacer sin perjuicio ni coste alguno para él, así como acreditar que retirar el consentimiento no supone una desventaja para el interesado.

Específico: Para garantizar un mayor grado de control al usuario y transparencia, debe otorgarse el consentimiento en relación con “uno o más fines específicos” y el interesado debe poder elegir cada uno de ellos por separado. 

Informado: para que el consentimiento sea informado, se debe aportar la siguiente información:

  1. La identidad del responsable del tratamiento.
  1. La finalidad de cada uno de los tratamientos para los que se solicita el consentimiento.
  1. Qué datos se recogen y se prevé que ser van a utilizar.
  1. El reconocimiento del derecho a retirar el consentimiento y el modo de hacerlo.
  1. Cuando proceda, información precisa sobre la utilización de los datos para adoptar decisiones automatizadas.
  1. Posibles riesgos sobre las transferencias internacionales de datos previstas y las garantías de seguridad ofrecidas para realizar esas transferencias.

Obtención del consentimiento explícito: el consentimiento debe ser una “declaración o una clara acción afirmativa”. El interesado debe realizar una expresa declaración de consentimiento. El artículo 7.1 del RGPD dispone: “el responsable del tratamiento tiene la obligación de demostrar el consentimiento que ha prestado el interesado. El consentimiento debe darse antes de realizar el tratamiento” (la carga de la prueba recae sobre el responsable).

Posibilidad de retirar el consentimiento: el responsable del tratamiento debe facilitar que el interesado pueda retirar su consentimiento con la misma facilidad con la que lo dio, así como que pueda hacerlo cuando lo considere oportuno.

2.- ¿EN QUÉ AFECTA A LAS COOKIES?

En el ámbito de la tecnología digital, los interesados reciben múltiples solicitudes de consentimiento que requieren respuestas mediante “clic” y movimientos de ratón muy frecuentemente, lo que hace que disminuya el efecto de advertencia real de los mecanismos de obtención del consentimiento.

El Comité concluye que “para que el consentimiento se otorgue libremente, el acceso a los servicios no debe condicionarse al consentimiento del usuario para almacenar información, o acceder a información ya almacenada, en el terminal del usuario”. Esta situación se suele encontrar en las denominadas “Cookie walls” que son ventanas que bloquean el contenido del sitio web al que se intenta acceder y que no desaparecen hasta que el usuario no marca “Aceptar”. En estos casos no puede considerarse que se haya otorgado válidamente el consentimiento porque no se ha dado libremente. 

El consentimiento no es válido porque no se le ha facilitado al interesado una forma de retirar el consentimiento análoga a la que se ha utilizado para otorgarlo.

Hacer “scroll” o la modalidad de “seguir navegando” por la web no se considera acción afirmativa clara. Este punto contradice los argumentos esgrimidos por la AEPD en su “Guía sobre el uso de cookies” en los que argumentaba que “determinados movimientos del ratón o la pulsación de teclas concretas, previa información al usuario, también pueden considerarse acciones afirmativas válidas para la obtención del consentimiento”

El Comité aclara, sobre la base del considerando 32 del RGPD que, “acciones tales como el desplazamiento o la navegación por una página web o una actividad similar de los usuarios no satisfarán en ninguna circunstancia el requisito de una acción afirmativa clara: esas acciones pueden ser difíciles de distinguir de otra actividad o interacción de un usuario y, por lo tanto, tampoco será posible determinar que se ha obtenido un consentimiento inequívoco.”

Mataró, 25 de septiembre de 2020.

Antonio Ruiz Carrillo

DIRECTOR DE CIPDI

Pautas para desarrollar actividad docente presencial

En los medios de comunicación (televisión, radio e internet) se está planteando comenzar el curso con una disyuntiva: ¿deben los alumnos comparecer en el colegio, o se han de impartir las clases telemáticamente?

Esa disyuntiva no responde a la realidad del problema que se les ha planteado a los titulares de los centros docentes privados y privados concertados porque, a pesar de que el bien jurídico protegido es el derecho de los alumnos a la asistencia y a la educación, el problema se plantea en su domicilio; es decir, aunque se llegue a la conclusión de que hay que impartir las clases telemáticamente, ¿con qué medios solucionamos el cuidado de los menores en ausencia de los padres de su domicilio, supuesto el caso de que todos estén dotados de los medios digitales necesarios y de que el centro escolar disponga de todos los medios necesarios para atender a todos los alumnos de forma personalizada?

La respuesta es evidente: no se puede. Luego, no queda más remedio que aplicar la solución menos perjudicial para el derecho de los alumnos y de sus familias que no es otra que impartir la actividad docente de forma presencial, siempre aceptando que esa solución no es la más segura para garantizar la salud de toda la comunidad educativa.

Se trata de establecer el modo de llevar a cabo la actividad docente presencial procurando prever los riesgos de incumplimiento normativo (normas estatales, autonómicas y municipales) y, sobre todo, de dotar al centro docente de un órgano o persona dotada de los medios técnicos y organizativos necesarios para garantizar la asistencia y el asesoramiento de todos los profesores, monitores y personal no docente en contacto con los alumnos encargados de gestionar la actividad docente en las aulas y en las zonas de actividades.

No se puede atribuir la responsabilidad al director ni, mucho menos, a los jefes de estudios. No son peritos en las materias jurídicas ni sanitarias y, por su condición de asalariados, tampoco puede imputárseles la responsabilidad que la Ley atribuye a la titularidad. Aunque la titularidad delegue sus funciones, a pesar de ello, no puede eludir su responsabilidad que, en el peor de los casos (dolo), evendría en solidaria.

El Delegado de Protección de Datos


1.1.- ¿QUÉ ES?

Es el garante de que un sujeto obligado (en adelante, el Responsable del Tratamiento) en virtud del artículo 37 del Reglamento Europeo de Protección de Datos (RGPD), dé cumplimiento a las normas que afectan a la privacidad de las personas.

Es un profesional (también llamado oficial de cumplimiento) que también aparece en el Código Penal y en la Ley de Blanqueo de Capitales. El estatuto del Delegado de Protección de Datos está regulado en el Reglamento Europeo de Protección de Datos.

1.2.- ¿QUIÉN PUEDE SER DELEGADO DE PROTECCIÓN DE DATO?

El delegado de protección de datos debe reunir los siguientes requisitos:

a.- Capacitación: de acuerdo con lo dispuesto en el artículo 37.5 del RGPD, el delegado de protección de datos debe ser una persona con conocimientos generales del derecho y específicos en materia de protección de datos que le permitan ejercer sus funciones .

b.-Autonomía. Los responsables del tratamiento deben proporcionar recursos humanos y económicos adecuados al DPD para que pueda ejercer sus funciones.

El DPD debe tener acceso a toda la información del Responsable del tratamiento que necesite para desarrollar correctamente su cargo.

c.- Independencia. El DPD No puede recibir instrucciones por parte de los órganos de dirección del centro sobre la manera de ejercer sus funciones, pero debe rendir cuentas al más alto nivel de la institución.

c.- Objetividad. El DPD no puede estar implicado personalmente con nadie que sea miembro del responsable del tratamiento si lo aparta de los objetivos de cumplimiento.

d.- Proactividad. El DPD debe buscar la información de la fuente que la genera y tiene que recoger todas las pruebas que sean necesarias para acreditar que en el centro de trabajo existe la obligación de cumplir las normas y que, en caso de que se produzca una infracción, no se puede atribuir a la institución de la que depende el responsable del tratamiento, sino a la voluntad o la negligencia puntual de alguien que pertenece a la institución.

1.3.- FUNCIONES DEL DELEGADO DE PROTECCIÓN DE DATOS.

El Reglamento General de Protección de Datos exige que se aplique la diligencia debida a todos los procesos que se utilizan para tratar la información de personas físicas identificadas o identificables.

Si se produjera algún incidente de cumplimiento en materia de protección de datos la Autoridad de Protección de Datos debe valorar las medidas técnicas y organizativas que haya puesto el responsable del tratamiento para evitar el incumplimiento y, en caso de que no lo haya podido evitar, qué medidas se han previsto para mitigar y reparar los daños causados.

Se entiende que una entidad actúa de manera diligente cuando puede demostrar que dispone de procedimientos de prevención, de detección y de reacción frente a los incumplimientos. El DPD debe diseñar e implementar y gestionar la implantación de estos procesos.

a.- ACTIVIDADES DE PREVENCIÓN:

a.1.- La Evaluación del riesgo de incumplimiento (Art.24 RGPD). El Reglamento General dispone que hay que prever y analizar de manera periódica la posibilidad de incumplimiento y los riesgos de que se pueda violar la seguridad de la información y la privacidad de las personas titulares de los datos que se tratan. Aunque el reglamento europeo de protección no datos no establece un plazo concreto para hacer la evaluación de los riesgos, hay que tener presente que la Ley 3/2018 de 5 de diciembre Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales está en vigor en todo lo que no contradiga el contenido del reglamento europeo; por tanto, es prudente aplicar lo dispuesto en el RD. 1720 de 21 de diciembre y hacer una evaluación de los riesgos de incumplimiento cada dos años. La normativa ISO recomienda que se haga cada año, coincidiendo con la memoria anual y rendición de cuentas.

a.2.- Identificación y mantenimiento de los registros de tratamiento (art.30 RGPD). Hay que establecer:

• Principios relativos al tratamiento, como los de limitación de la finalidad del tratamiento, minimización de contenido y de datos o la exactitud de los datos.

• Bases jurídicas de los tratamientos

• En su caso, las normas sectoriales que determinen condiciones de tratamiento específicas distintas de las establecidas por las leyes de protección de datos

• Establecimiento de procedimientos de información a los afectados por el tratamiento de sus datos.

• Establecimiento de medidas de seguridad y de controles que garanticen el cumplimiento de las leyes. Los controles deben permitir medir la efectividad del sistema de tratamiento y evaluar el nivel de cumplimiento.

Conviene revisar periódicamente la adecuación de los registros de tratamiento cada dos años, haciéndolo coincidir con el informe de evaluación de riesgos.

a.3.- Asesorar al responsable del tratamiento (Art. 39 RGPD). El DPD debe ser capaz de resolver todas las cuestiones que surjan relativas a las normas que regulan el tratamiento de la información. Es importante la transversalidad del DPD (recordemos que cuando el RGPD regula las funciones del DPD dice que debe tener conocimientos generales del derecho). Un problema de privacidad afecta al ámbito civil y, muchas veces, el penal si se trata de delitos contra la intimidad o la dignidad de las personas.

a.4.- Formación del personal y, eventualmente, de los grupos de interés (art. 39 RGPD y 7.2 ISO 19600). Todo el personal debe estar formado debidamente. Además, hay que identificar a las personas especialmente expuestas a riesgo y diseñar un programa de contenidos adecuados a las funciones encomendadas a cada grupo de riesgo. Hay que acreditar que ha impartido las sesiones de formación y verificar que los asistentes han sacado provecho y entendido la materia tratada.

Eventualmente, se pueden hacer sesiones de formación a otras personas como, por ejemplo, usuarios del servicio y/o al personal de otras empresas que colaboran con el responsable del tratamiento.

Conviene hacer, como mínimo, un programa de formación general cada año. Al finalizar la formación, los asistentes deben rellenar un cuestionario para valorar si han alcanzado unos conocimientos mínimos.

a.5.- Revisión de la contratación (art. 28 RGPD). Hay que revisar periódicamente y mantener al día los contratos firmados entre el responsable y los encargados del tratamiento (los contratos perimetrales). La revisión contractual se debe hacer cuando se firman contratos que, para cumplir las obligaciones que contienen hay que tratar información del responsable del tratamiento. Ejemplo de contratos perimetrales: contratos con entidades financieras, asesores, limpieza, monitores, seguridad, servicio médico externo, seguros, transporte escolar, informática (mantenimiento interno y plataformas externas), etc.

a.6. – Validación de transferencias internacionales de datos (art. 44 y siguientes del RGPD). Identificación de los instrumentos de transferencia internacional de datos y adecuación a las necesidades y características de la organización y de las razones que justifiquen la transferencia. Se considera transferencia internacional cualquier tránsito de datos fuera de la UE; por ejemplo, el uso de sistemas virtuales gestionados por empresas fuera del espacio Schengen. Ejemplo de transferencia internacional de datos: Google, Instagram, facebook, whatsapp.

Conviene revisar y evaluar las actividades que impliquen transferencia internacional de datos cuando se inicia la actividad.

b.- ACTIVIDADES DE DETECCIÓN DE LOS INCUMPLIMIENTOS.

Para facilitar las actividades de detección, CIPDI ha creado una plataforma que permite:

b.1.- Recoger pruebas de cumplimiento (Art. 83 del RGPD y arte. 8.2 ISO 19600). Además de la documentación de la formación, hay que asegurarse de que las personas especialmente expuestas al riesgo no hacen actividades que pongan en peligro de riesgo a la institución. Periódicamente, estas personas tienen que llenar cuestionarios de autocontrol que el DPD ha de preparar, diseñar, verificar y custodiar. Los cuestionarios de autocontrol sirven de base para la defensa ante las autoridades de control o los juzgados y tribunales.

b.2 Evaluaciones de impacto y, en su caso, consulta previa a la autoridad de control (art. 35 y 36 RGPD). Antes de proceder a hacer una nueva actividad que afecte a la privacidad de las personas, hay que hacer una evaluación previa para minimizar el impacto que puede producir un incumplimiento, de acuerdo con los principios de privacidad desde el diseño y privacidad por defecto. Nadie puede poner en marcha una actividad que afecte a la privacidad de otras personas sin pedir el visto bueno del DPD.

Ejemplo 1: Si un trabajador quiere abrir un blog, se debe hacer un análisis sobre:

  • La transferencia internacional de datos.
  • Las medidas de seguridad que se aplicarán
  • La información implicada
  • El impacto en la privacidad de los clientes, usuarios y/o de los trabajadores.

En todo caso, y dependiendo de los resultados de los análisis, es necesario establecer las medidas adecuadas para que el impacto en la privacidad sea el mínimo posible.

Ejemplo 2: Si se hace una actividad conjunta con otro centro, hay que ver cómo impacta esta actividad a la privacidad de los participantes. Se comprobará:

  • ¿Qué datos se facilitan?
  • ¿Qué uso se hará de los datos recibidos de la otra entidad y si asegurarse de que sean proporcionadas? Hay que prever si se captarán imágenes.
  • Responsabilidad que se derive del uso inapropiado de los teléfonos móviles.

El DPD debe proponer los acuerdos y los convenios pertinentes para regular la responsabilidad de las personas físicas o jurídicas que intervienen en la actividad.

En los casos que la autoridad lo requiera, pedir la consulta previa.

b.3.- Gestión del Canal de inquietudes y de incidencias (art. 33, 34 y 39 RGPD y 5.3.4 y 10.1.2 de la ISO 19600). Los interesados deben ponerse en contacto con el delegado de protección de datos para resolver las cuestiones relativas al tratamiento de sus datos personas y, si es necesario, para ejercer los derechos. Los trabajadores están obligados a notificar al DPD:

  • Las incidencias. Las anomalías que se detecten en el sistema de tratamiento, como pueden ser la pérdida de llaves, los requerimientos de autoridades (policía, jueces, departamento, etc.), la pérdida de apoyos y otras incidencias que pueden poner en peligro la seguridad de los datos, del sistema o de los soportes.
  • Los incumplimientos. Los incumplimientos se comunicarán al DPD inmediatamente. Hay que establecer sistemas para garantizar la confidencialidad de las comunicaciones y la privacidad, intimidad y anonimización de la persona que hace la comunicación. Si el infractor es miembro del equipo directivo, hay que garantizar los derechos de la persona que notifica la infracción aplicando los principios de autonomía, independencia y objetividad.
  • Dudas. El canal de inquietudes y de incidencias se ha creado para hacer llegar al DPD las dudas y las inquietudes sobre las actividades de riesgo a las que hay que hacerlas en ella una evaluación previa de los riesgos previstos.

b.4.- Rendición de cuentas (8.2 ISO 19600). El DPD Debe hacer una memoria anual y la entregará a la dirección del centro. La memoria debe contener un resumen de las actuaciones, una valoración de la eficacia de las medidas y de los controles que se hayan puesto y los objetivos de cumplimiento previstos para el año siguiente. la memoria sirve para valorar la actividad del DPD y establecer los objetivos de cumplimiento dentro del proceso de mejora continua

c.- ACTIVIDADES DE REACCIÓN

c.1.- Resolver las peticiones de ejercicio de derechos de los afectados (ART 13 y siguientes del RGPD). Los afectados pueden pedir al responsable del tratamiento ejercer los derechos de acceso, rectificación, cancelación, oposición, supresión o “olvido”, portabilidad de los datos, limitación del tratamiento y no estar sometidos a decisiones individuales automatizadas (elaboración de perfiles) . El DPD debe responder en tiempo y forma.

c.2.- Actuar como punto de contacto entre la autoridad de control y el responsable del tratamiento (art 39 RGPD). El DPD es el interlocutor del responsable del tratamiento ante la autoridad de control. En caso de que se abra algún procedimiento contra el responsable del tratamiento, la autoridad debe dirigirse al DPD, por ello, hay que tener constancia registral.

c.3.- Gestión de las vulneraciones de seguridad (art. 33 y 34 RGPD). Cuando se produzca un incidente de relevancia que afecte a la seguridad de la información, se comunicará a la autoridad de control antes de 72 horas.

c.4.- Instrucción de expedientes (art. 83 RGPD). El DPD debe dirigir el procedimiento de investigaciones internas en caso de infracciones en el cumplimiento de las obligaciones legales. Debe recoger toda la información y hacer las propuestas de resolución, incluyendo las posibles sanciones y las acciones que se deben emprender para mitigar los daños causados.

1.4.- OBLIGADOS A DESIGNAR EL DPD (art 37. 1 RGPD y 34 LOPDGDD) (ART 83 RGPD)

El RGPD establece la obligación de designar un DPD cuando:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, por razón de su naturaleza, alcance y/o finalidades, requieran una observación habitual y sistemática de interesados ​​a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales de categoría especial y de datos relativos a condenas e infracciones penales.

La LOPDGDD también establece un listado en el que los responsables y encargados del tratamiento designarán un DPD (art. 34.1), como son los colegios profesionales, los centros educativos y los prestadores de servicios de la sociedad de la información, entre otros.

Finalmente, hay que comunicar esta designación a la Agencia Española de Protección de Datos (art. 34.3 LOPDGDD).

Recientemente, la AEPD ha empezado a dictar resoluciones contra entidades por la falta de designación de un DPD, tanto a organismos públicos (https://www.aepd.es/es/documento/ps-00001-2020.pdf) como a entidades privadas (https://www.aepd.es/es/documento/ps-00417-2019.pdf). 

1.5.- RESPONSABILIDAD (ART 83 RGPD)

Con la aplicabilidad del nuevo RGPD se cambia el paradigma de cumplimiento de las normas reguladoras del tratamiento de la información de personas físicas. Si hasta ahora era suficiente no infringir la ley, ahora, además, hay que demostrar que las leyes se cumplen y la manera de cumplirlas.

En materia de protección de datos, las sanciones pueden llegar a los 20.000.000 de euros. En aplicación de lo dispuesto en el artículo 83 del RGPD, para valorar la cuantía de la sanción, se valorarán, entre otros:

  • Las medidas que haya tomado el responsable del tratamiento para paliar los daños y perjuicios sufridos por los interesados ​​(reacción ante la infracción).
  • Las medidas técnicas y organizativas que haya implantado el responsable del tratamiento para garantizar el correcto cumplimiento de las normas. (Prevención y detección de la infracción)
  • La cooperación con la autoridad de control (reacción ante la infracción)

En materia de cumplimiento normativo, el hecho de acreditar que se tiene un sistema eficaz de control y de prevención de las infracciones por parte del personal dependiente de la entidad, puede conllevar una reducción y, a veces, la exención, de la responsabilidad corporativa de la persona jurídica (STS 154/2016, de 29 de febrero, ponente: Maza Martín).

Implantar procedimientos de cumplimiento tiene una doble finalidad:

  1. Concienciar y formar al personal. El personal formado convenientemente que haya alcanzado una cultura ética de cumplimiento probablemente no cometerá muchas infracciones y, si las comete, se podrá reaccionar más eficazmente ante el responsable del tratamiento.
  2. Permite recoger pruebas de cumplimiento. Si el responsable del tratamiento puede demostrar que ha puesto todos los medios adecuados para evitar las infracciones, su responsabilidad se podrá reducir y, incluso, desaparecer.

En materia de protección de datos, el DPD es el núcleo del sistema de cumplimiento normativo.

El RIS: Reglamento Interno de Seguridad

El Reglamento Interno de Seguridad (RIS) es una herramienta que ha devenido necesaria para el gobierno de cualquier institución o empresa que utilice medios de tratamiento de la información en soporte digital, audiovisual, o informático.

Nuestro Código Civil regula, en los artículos 1.902, 1.903 y 1.904, la responsabilidad de los que tienen personas a su cargo en materia de daños y perjuicios provocados por sus dependientes.
Desde el 23 de diciembre de 2010, se ha añadido la responsabilidad penal de las instituciones o empresas tipificada en el artículo 31bis del Código Penal.
De este modo, las instituciones y empresas han adquirido responsabilidad sobre el uso de las nuevas tecnologías porque los dependientes tratan la información usando las nuevas tecnologías (TIC)y éstas han de reunir las condiciones adecuadas para que el responsable de la empresa pueda controlar y, sobre todo, gestionar su uso.

No es función de los administradores dedicarse a controlar cómo utilizan las TIC los empleados, pero sí que han de responder del mal uso que éstos hagan de aquellas.

Habida cuenta de que también se han tipificado los delitos de descubrimiento y revelación de secretos a través de las TIC, modificando el contenido del artículo 197 del Código Penal, es obvio que las instituciones y empresas han de articular algún modo de poder defender su interés frente a las posibles acciones irregulares de los empleados cuando usan los medios, sistemas o programas de la institución o de la empresa.

El Reglamento Interno de Seguridad
El RIS puede ser un instrumento técnico-jurídico adecuado para garantizar los derechos de los trabajadores, de sus empleadores y de la empresa o institución a la que se deben. De este modo, el RIS habría de regular 3 ámbitos fundamentales de la actividad de la institución o empresa:

  • Derechos de las personas.
  • Derechos de la institución o empresa.
  • Uso de los soportes que tratan la información.

Configuraión del RIS
El RIS se compone de dos cuerpos normativos que recogen los tres ámbitos a regular:

  • El Manual de Funciones
    Es un documento que recoge los derechos y obligaciones de todas las personas implicadas en el tratamiento de la información y de los datos de una institución o empresa. Recoge, igualmente, el modo en que las personas han de usar la información y los soportes que la contienen en el ámbito de sus funciones. Además, se recoge el sistema sancionador por el que se regulan: tanto el expediente informativo, como el propiamente sancionador, en los casos de incumplimiento.En el manual de funciones, se refleja la jerarquía de las personas en el ámbito de la institución o empresa, así como todos sus privilegios y la composición de sus identificadores para acceder, tanto a los soportes lógicos y/o digitales, como a los informáticos o audiovisuales.En la regulación de los accesos y el control de tratamiento, se aplican, además, todas las disposiciones normativas que regulan la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos y el reglamento que la desarrolla (Real Decreto 1720/2007).
  • El Maestro Informático.Es un documento que, a modo de “manual de instrucciones”, fija el uso exacto de los soportes que contengan, o puedan contener, información, sea del tipo que fuere.En el maestro informático se destacan los derechos y obligaciones de las personas cuando tratan información usando el soporte informático, por lo que, todo el sistema de seguridad se basa en la identificación del usuario y en la carga de la responsabilidad asignada a su identificador y, en su caso, a la IP desde donde opere.Asimismo, se regulan los requisitos que han de cumplir los soportes y lugares donde se encuentran, con el fin de garantizar el acceso autorizado e impedir el que no lo está.El maestro informático también incluye las instrucciones de gestión de programas (software). En materia de gestión de programas, el maestro informático distingue dos grupos:a)El grupo de programas de gestión, propiamente dicha.
    Regula el uso y el tratamiento de los programas que utiliza la institución o empresa para gestionar la información. Generalmente, se trata del sistema operativo, programas de administración de empresa y, en los centros especializados de tratamiento con finalidades docentes, sanitarias y análogas, los de gestión de información sensible que afecta a las personas. Normalmente, el acceso a estos programas también está controlado mediante claves asignadas a las personas autorizadas previamente.b)El grupo de programas de seguridad.
    Está formado por una serie de aplicativos y programas que sirven para garantizar el acceso autorizado y evitar accesos no consentidos al sistema de tratamiento de la información de la institución o empresa.

Los Protocolos
El RIS, en sí mismo, no sería un instrumento práctico si no se acompaña de los protocolos o instrumentos de aplicación práctica de los estándares y normas contenidas, tanto en el manual de funciones, como en el maestro informático.
Básicamente, los protocolos están divididos en tres grupos:

  • Protocolos de consentimiento: regulan la forma de obtener permisos para tratar la información. Cuando se trata de personas, se aplica la normativa prevista en la LOPD y en la LSSI. Cuando se trata de relaciones civiles o mercantiles, se aplica el Código Civil y la normativa reguladora de los contratos y del derecho de los consumidores.
    En todos los casos, en los protocolos, además de aplicarse la citada normativa, se diseñan los formularios e impresos que ha de cumplimentar la institución o empresa para legitimar el uso de la información que pretende tratar.
  • Protocolos de circulación: regulan el control de la entrada y/o salida de la información mediante registros. Esto se hace atribuyendo a los responsables y encargados, procesos de constancia de entradas y salidas, así como de los destinos de todas ellas.
  • Protocolos de archivo y destrucción: regulan el modo en que la información ha de ser tratada tras su uso para los fines que exigieron su recogida. Se trata de procesos que regulan la forma de conservar la información y, cuando ya no es necesaria, la forma de destruirla.

La responsabilidad del centro por el uso de apps por parte de los alumnos

En materia de privacidad e intimidad, en los colegios conviene regular el ejercicio de los derechos y obligaciones de los alumnos cuando usan las “app” de mensajería de los aparatos con conexión a las redes, así como cuando gestionan las aplicaciones de interconexión audiovisual en tiempo real.

En el ámbito del aprendizaje, las aplicaciones que se usan con las nuevas tecnologías han mediatizado la iniciativa docente de forma que los profesores y los padres han perdido protagonismo y poder de decisión en algunas tareas docentes.

Es, precisamente en la adolescencia cuando los menores provocan los problemas más importantes en los colegios, y ello es debido a que entran en las redes, gestionan información indiscriminada con aparatos personales y utilizan programas franqueando el control del colegio y el de sus representantes y familiares con sorprendente facilidad.

No hace mucho, en los colegios, el maestro tenía como misión enseñar; poco después, la misión del profesor consistió en ayudar a los alumnos a aprender, y, ahora, para lograr los mismos objetivos docentes, el profesor, el monitor y los asistentes psicopedagógicos deben complementarse con los legales representantes de los menores y con los expertos en gestión de medios digitales para organizar los medios, las redes y los programas que gestionan los conocimientos que antes se administraban con libros y bibliografía.

Es un hecho probado que los alumnos cada vez acceden con más precocidad a los aparatos y a las aplicaciones. El acceso a un aparato que gestiona información sita en internet implica acceso franco a información sin discriminar por el que se “cuelan” contenidos perjudiciales.

Dicen los periódicos en estos últimos días, a propósito del escándalo que se ha producido en los colegios con el “app” “Gosip” o “informer”, que la solución está en vigilar o controlar a los menores. Afirman algunos pedagogos que los padres deben controlar las sesiones virtuales de sus hijos en casa, y, los profesores, las sesiones en la escuela, reduciendo el problema a una simple cuestión de control físico de la conducta del menor y de los medios y recursos de vigilancia de los colegios.

Esa es una pobre solución, porque no se puede controlar la imaginación. Los alumnos que disponen de aparatos capaces de gestionar información en redes y en nube, pueden, perfectamente, “imaginar” y dejar constancia de las “imaginaciones” en cualquier tipo de soporte, sea digital, documental o virtual.

Así, a nadie se le escapa que muchos de los alumnos de 13 a 15 años, tienen una aplicación “whatsapp”, “Skype”, “Facebook”, “Gossip”, “informer” u otros y, además, tienen un almacén en Dropbox, suficientes para gozar de la máxima autonomía y gestionar la información que consideren oportuna fuera del alcance de los padres y de los profesores.

Cualquier menor puede participar en los foros y acceder a la “ciber-información” aunque sus representantes no le doten de aparatos o de medios. Basta con la simple voluntad de entrar en un “ciber-café” o de pedir prestado el aparato a un compañero. 

Si desean compartir cualquier tipo de información audiovisual con un grupo, lo crean en “Google Drive” o en “Dropbox” usando una identidad ficticia y gestionan cuantos conocimientos, imágenes o vídeos tengan por conveniente captar, recoger, grabar, “subir” o “bajar” de las redes. La iniciativa del saber o del conocer está en manos de los menores. 

Controlar esas actividades requiere la intervención de personal con conocimientos avanzados. Eso, si se pretende controlar a un solo alumno. Obviamente, controlar la gestión que hacen los alumnos de una clase de la información que gestionan en sus redes, grupos, almacenes o chats, no solo es imposible, sino que, además, es inútil.

Tanto el problema, como la solución, se encuentran en la capacidad de obrar de los alumnos y en la aptitud, la actitud y la disposición de los responsables de velar por los derechos de los menores, tanto cuando están en casa, como cuando se encuentran en el colegio, porque es indiferente el lugar en el que se encuentren los menores cuando operan en redes o en el “Cloud-computing”.

En el ámbito de las nuevas tecnologías es inútil discutir si la responsabilidad de la educación de los menores ha de recaer en el colegio o en los padres. Evidentemente, los responsables de la educación son los padres, pero el colegio ha de poner los medios. En el ámbito de las TIC, el colegio no puede hacer nada si los padres no usan los medios que el centro docente pone a su disposición.

Ese es uno de los graves inconvenientes que agravan el problema cuando los menores hacen mal uso de las TIC. Nada habría que decir si el colegio pudiera defenderse alegando el desinterés o la despreocupación que algunos padres demuestran amparados en sus problemas domésticos, pero, en este aspecto, la Ley es taxativa: tanto el Código Civil, como el penal, hacen responsable al centro por los delitos, daños y perjuicios que causen los alumnos en horario escolar, e, incluso, en ocasiones, por los perjuicios causados a otros miembros de la comunidad educativa fuera del horario escolar.

Hay que tener en cuenta que la información que manejan los adolescentes cuando usan TIC no está localizada. Quiere eso decir que la información es virtual y, por tanto, está en el colegio del mismo modo que en casa, o en el lugar en el que se encuentra el menor con el aparato, o en la nube. Lo determinante para fijar el lugar de la comisión del acto es el derecho de conexión, el programa y la “app” en un momento dado, y no el uso del aparato o la gestión de los contenidos. Por lo tanto, para controlar esos actos, es necesario tener conexión y acceso a las aplicaciones que gestiona el menor, con independencia de si lo hacen en casa o en otro lugar.

Y no se trata sólo de imponer un control físico a los aparatos y a las conexiones o de controlar al propio alumno vigilando su actitud en casa, o su conducta en el colegio. Se trata de formar a los responsables de los menores para que conciencien a los propios menores bajo su custodia y/o representación, en tanto que dueños de los contenidos y poseedores del aparato y de las aplicaciones, porque se entiende que el representante del menor ha facilitado el aparato y la conexión, y, se supone también, que lo ha hecho en el bien entendido de que el usuario menor de edad tiene capacidad intelectual suficiente para comprender.

Es en ese aspecto en el que se fundamenta la responsabilidad “in vigilando” de los padres, como legales representantes y del colegio como prestador de servicios educativos.

Obviamente, el responsable del menor ha de ejercer la patria potestad, también en materia de uso de las T.I.C., lo que le obliga a informarle y educarle en el ámbito de las responsabilidades que adquiere al momento de ser poseedor de las conexiones y del derecho de uso de las “app”, así como de los contenidos que gestiona. El colegio debe instruir a los alumnos y formarles para que gestionen los medios y los contenidos de acuerdo con las normas.

Todo ello es así porque está sobradamente probado que, cuando usan las tecnologías e intervienen en intercambios de información y datos por las redes, los adolescentes distinguen con claridad cuándo realizan actos permitidos y cuándo no. Saben perfectamente cuándo están injuriando, calumniando y coaccionando o vejando a un compañero, sin ningún tipo de dudas. La prueba es que manejan con toda seguridad el criterio de gestión de contenidos en “público” o en “privado”, realizando las acciones que ellos saben que no están permitidas o que están perseguidas en “privado” y se manifiestan en “público” o “abierto” cuando consideran que no hay peligro para sus intereses. 

Conviene que el menor con capacidad intelectual adecuada a su edad conozca las normas civiles y penales básicas incluidas en el Reglamento Interno de Seguridad del colegio.

En el Reglamento Interno de Seguridad ha de preverse la intervención de los legales representantes del menor en los casos en que se derive responsabilidad civil, penal o administrativa. Por eso, el reglamento debe prever, desde el momento de la matriculación, la responsabilidad directa de los legales representantes de los menores en los casos en que se acredite que han facilitado los aparatos y las conexiones a sus hijos.

Obviamente, el Reglamento no exime de la responsabilidad de vigilar al colegio, antes bien, lo que hace es reforzar la “auctoritas” y la “potestas” de los profesores que, desde el principio, contarán con el aval de las familias a la hora impedir que los alumnos causen daños usando indebidamente los aparatos y las conexiones. 

Mediante el Reglamento Interno de Seguridad obtendremos, como resultado, la creación de un “derecho supletorio” capaz de regular con eficacia las conductas queridas por los adolescentes y contrarias al derecho, habida cuenta de que los adolescentes tienen plena capacidad para distinguir que algunas conductas queridas por ellos son injustas y, en ocasiones, hasta delictivas.

Desde luego, si el centro docente y los representantes de los menores no se ponen de acuerdo en aceptar un código de seguridad que regule las conductas de los adolescentes en el colegio y en casa con las mismas normas, es imposible que éstos cumplan sus obligaciones a iniciativa propia, sabiendo que el Código Civil no les va a responsabilizar hasta que cumplan 18 años, precisamente, cuando se inicia el fin de la etapa en la que se producen más “gamberradas”.

En la actualidad, son, precisamente, esas “gamberradas” de adolescentes lo que, además de ser constitutivas de presuntos delitos, causa daños que pueden llegar a ser irreversibles, pero la responsabilidad por los daños y perjuicios que provocan con su conducta ha de ser imputada a los que ostenten su representación, y no a los centros docentes que prestan un servicio de ámbito docente cuando, en general y, salvo raras excepciones, todos cumplen los requisitos de prevención y vigilancia exigidos por las leyes.

El problema no está en los medios de vigilancia que ponen los colegios. Con los medios con los que cuentan, lo hacen lo mejor que pueden. El problema está en que no se distingue muy bien dónde está el límite de la Responsabilidad “in vigilando”, cuando está implicado el derecho a la privacidad, a la intimidad y a la propia imagen de los menores.

A menudo, los docentes cometen errores a la hora de fijar los límites de lo permitido en materia de seguridad y privacidad de los menores porque entienden que su función educadora está, en ocasiones, por encima de su obligación como garantes de la intimidad de los menores a su cargo y se comportan como si sustituyeran a los padres, sobre todo, si hay implicaciones en materia de sexo, injurias, calumnias u otros delitos típicos (no debemos olvidar que a los profesores encargados de administrar la información y la conducta de los menores en el colegio se les llama “tutores”).

Se produce intromisión ilegítima cuando el afectado no puede preservar su derecho porque otro ha usado injustamente medios intrusivos. El abuso de los medios intrusivos de la privacidad en los centros docentes se produce por dos causas: la primera, por desconocimiento de los profesores y de los profesionales que participan de la labor educativa cuando intervienen los soportes que contienen la información sin preocuparse de si queda al descubierto algún ámbito de la intimidad de los menores al momento de intervenir en los hechos (por ejemplo, cuando intervienen un “i-pod”, o cuando entran en sesiones privadas-foros- en las que intervienen varios sujetos.) y, la segunda, por precipitación o sobredimensionamiento de los hechos, en los casos en que el agraviado o sus representantes amenazan con tomar medidas, o las toman al momento, provocando reacciones desproporcionadas que, generalmente, agreden al menor publicando información íntima, con la intención de producir efecto de ejemplaridad para los testigos del acto, o de castigo para el infractor de las normas.

El colegio, como institución, está obligado a prever los delitos, pero también la intrusión. Por lo tanto, es necesario que el colegio esté dotado de medios humanos, jurídicos y pedagógicos eficaces, con el fin de vigilar la conducta de los alumnos y la de los profesores que deben actuar en defensa de los derechos de aquéllos. En materia de intrusión, hay que dotarlo, también, de los medios técnicos y de los conocimientos suficientes, para garantizar los derechos del colegio, de las familias, de los alumnos y los del personal, implicados, todos ellos, en la tarea docente.

Antonio Ruiz Carrillo
Febrero de 2013

La propiedad y posesión de la historia clínica

Cesión por compraventa de participaciones o acciones de la entidad.
En este caso, el que fuera propietario mayoritario de las acciones y/o participaciones, transmite sus derechos a un tercero que pasa a ostentar la mayoría de los accionistas o socios asumiendo el poder y, consecuentemente, provocando el cambio de dueño del establecimiento.
En este caso, nada hay que hacer ni qué decir de extraordinario, ya que el establecimiento al que se dirige el paciente es el mismo y la empresa responsable de su información y de sus datos es la misma. Por lo tanto, a los efectos de la repercusión en los derechos de los pacientes y de los facultativos, no se produce cambio alguno y los derechos de disposición del paciente continúan intactos.
Ahora bien, si la política de la nueva empresa pasa por realizar operaciones que impliquen el acceso o tratamiento por cuenta de terceros que antes no se producía, necesariamente hay que notificarlo fehacientemente al paciente y al facultativo si se ve implicada información de las historias clínicas sin disociar.

Cesión de negocio con cambio de titularidad (compraventa de consultorio uni o pluripersonal).
En este caso el propietario entrega las historias clínicas a otro propietario de establecimiento sanitario para que continúe atendiendo a los pacientes en una institución sanitaria distinta a la que trató las historias clínicas que se ceden, aunque ambas tengan la sede en el mismo domicilio.
Para poder realizar esta operación será preciso que la entidad cedente notifique a todos los pacientes la intención de la cesión con las circunstancias en que se va a realizar y, sobre todo, si ello implica algún cambio respecto de los derechos de los pacientes a la información contenida en las historias clínicas.
Para poder realizar la notificación d e acuerdo con las prescripciones legales, es preciso que en todas las historias clínicas haya constancia de los consentimientos informados; el uno, para el tratamiento de la salud del paciente y, el otro, para el tratamiento de su información. En esos documentos de consentimiento hallaremos la voluntad del paciente de cara al tratamiento ordinario o extraordinario de sus datos con las oposiciones y condiciones específicas para cada caso.
Es evidente que si un paciente ha declarado su voluntad de impedir cualquier tipo de cesión de sus datos, ni el facultativo ni la institución pueden ceder su historia clínica sin disociar los datos personales del paciente y, si la disocian, entonces, ya no puede considerarse historia clínica de ese paciente. Por lo tanto, no podrán cederse las historias clínicas sin consentimiento de los pacientes. Por eso es imprescindible estar al día en materia de protección de datos sanitarios (artículos 7, 8, 9 y 10 de la Ley 15/1999, de 13 de diciembre, Orgánica de protección de datos).

¿Quién tiene la obligación de notificar al paciente, el que cede o el cesionario?
El que cede. Sin embargo, el cesionario no puede tratar dato alguno sin consentimiento expreso del afectado que lo ha de prestar expresamente para que pueda realizar el tratamiento pretendido en calidad de cesionario de la historia clínica.

Fusión, absorción, o entrada de nuevos socios.
En estos casos, se trata de verificar si el responsable de la historia clínica lo sigue siendo, o, por el contrario, se ha cambiado de responsable y el cambio afecta a los derechos de los pacientes o de los afectados (El paciente tiene derecho sobre los datos sanitarios y el afectado los tiene sobre los datos identificativos, siendo que ambos son cualidades de la misma persona).
Para el caso de que se cambie de responsable, el cedente viene obligado a notificar, de cualquier forma acreditable en derecho, que tiene la intención de ceder los datos sanitarios que componen la historia clínica, a favor del tercero que ha de sustituir al responsable en el lugar que ocupaba el cedente en la relación paciente-facultativo. Ese tercero -cesionario- ha de ser identificado o identificable, pero, en modo alguno puede considerarse que se ha notificado al paciente o afectado si no se acredita la identidad del cesionario de sus datos.
En caso de que no se cambie de responsable, pero se modifiquen los criterios de tratamiento en la recogida, archivo, gestión interna, gestión por cuenta de terceros, cesión, o destrucción, el afectado ha de ser necesariamente informado por el responsable, del alcance de las modificaciones en el tratamiento, en el caso de que esas modificaciones afecten al fichero, a la finalidad, a los usos y a los destinatarios de la información.