domingo, 14 de octubre de 2012

CÓDIGOS TIPO EN PROTECCIÓN DE DATOS


Resumen: Los CÓDIGOS TIPO simplifican el proceso de adecuar a la legislación vigente en materia de protección de datos, a empresas de sectores específicos. Se apoyan en criterios de autorregulación, habitualmente sectorial, ya que uno de sus objetivos es facilitar la adecuación a la LOPD partiendo de las peculiaridades comunes de los diferentes sectores de actividad.


Autor del artículo
Colaboración
JOSE LUIS COLOM PLANAS
Actualizado
15 de agosto de 2015


ÍNDICE.


1.  INTRODUCCIÓN A LOS CÓDIGOS TIPO.
2. CONTENIDO.
2.1. INTRODUCCIÓN.
2.2. CONTENIDO PRECEPTIVO.
2.2.1. DETALLE EN EL REDACTADO DE SU CONTENIDO.
2.2.2. RELACIÓN DE DOCUMENTOS ANEXADOS.
2.2.3. PROCEDIMIENTOS DE SUPERVISIÓN.
2.2.4. RELACIÓN DE ADHERIDOS.
2.3. CONTENIDO POTESTATIVO.
3. VENTAJAS Y OBLIGACIONES DE LOS ADHERIDOS.
3.1. VENTAJAS.
3.2. OBLIGACIONES.
4. INSCRIPCIÓN POR EL PROMOTOR.
4.1. SOLICITUD DE INSCRIPCIÓN.
4.2. DOCUMENTOS NECESARIOS.
4.3. PROCEDIMIENTO DE INSCRIPCIÓN.
5. OBLIGACIONES DEL PROMOTOR.
6. LA COMISIÓN EUROPEA.
6.1. OPINIÓN DEL GRUPO DE TRABAJO.
6.2. PRINCIPIOS BÁSICOS.
7. CODIGOS TIPO INSCRITOS EN EL RGPD.
8. LEGISLACIÓN APLICABLE.
8.1. DIRECTIVA 95/46/CE de 24 de Octubre.
8.2. LOPD: Ley Orgánica 15/1999, de 13 de diciembre.
8.3. RLOPD: Real Decreto 1720/2007, de 21 de diciembre.
9. BIBLIOGRAFÍA CONSULTADA.
10. DERECHOS DE AUTOR.

  

1. INTRODUCCIÓN A LOS CÓDIGOS TIPO.


Los CÓDIGOS TIPO, nacieron con la finalidad de simplificar todo el proceso obligatorio de adecuar a la legislación vigente en materia de protección de datos, a empresas de sectores específicos que traten datos de naturaleza personal.

Se apoyan en criterios de autorregulación sectorial, ya que su objetivo es adaptar la LOPD a las peculiaridades de cada sector. Partimos de la base que la mayoría de empresas pertenecientes a un gremio, colegio profesional, asociación empresarial o sector muy específico de actividad, tendrán las mismas necesidades y obligaciones en materia de protección de datos en cuánto a tipos de ficheros a registrar en el RGPD de la AEPD, y medidas de seguridad a aplicar para protegerlos.
Los códigos tipo son de carácter voluntario, pero la creación de uno de ellos, y las posteriores adhesiones de los afiliados, pueden suponer ventajas muy interesantes para las empresas o autónomos.
Consiguen homogeneizar y estandarizar el uso de la información personal de las empresas adheridas a los mismos y tendrán el carácter de códigos deontológicos o de buena práctica profesional, siendo vinculantes para quienes se adhieran a los mismos.
La adhesión es voluntaria, pero una vez hecha, obliga a las empresas a su cumplimiento, aunque con mayor facilidad, al servir de guía para la adecuación a la normativa vigente. Los códigos tipo deben estar redactados en términos claros y accesibles.


2. CONTENIDO.

2.1. INTRODUCCIÓN.

Los códigos tipo tienen por objeto adecuar lo establecido en la LOPD y en el RLOPD, a las peculiaridades de los tratamientos efectuados por quienes se adhieren a los mismos.
A tal efecto, contendrán reglas o estándares específicos que permitan armonizar los tratamientos de datos efectuados por los adheridos, facilitar el ejercicio de los derechos de los afectados y favorecer el cumplimiento de lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre.
Los Códigos tipo de carácter sectorial podrán referirse a la totalidad o a parte de los tratamientos llevados a cabo por el sector, debiendo ser formulados por organizaciones representativas del mismo, al menos en su ámbito territorial de aplicación.
NOTA DEL EDITOR: Pueden inscribirse códigos tipo promovidos por una empresa, aunque en dicho caso deberán referirse a la totalidad de los tratamientos llevados a cabo por la misma.

Las Administraciones Públicas podrán adoptar códigos tipo de acuerdo con lo establecido en las normas que les sean aplicables.

2.2. CONTENIDO PRECEPTIVO.

2.2.1. Detalle en el redactado de su contenido.











Los códigos tipo deben tener siempre en cuenta:
  • Introducción con las razones por las que se decide desarrollar y promover el código tipo.
  • La delimitación clara y precisa de su ámbito de aplicación, las actividades a que el código se refiere y los tratamientos sometidos al mismo.
  • Las previsiones específicas para la aplicación de los principios de protección de datos al sector que representa.
  • El establecimiento de estándares homogéneos para el cumplimiento por los adheridos al código de las obligaciones establecidas en la Ley Orgánica 15/1999, de 13 de diciembre.
  • Se establecerá el marco normativo general y específico del sector. También incluirá definiciones y explicaciones del argot específico del sector.
  • El establecimiento de procedimientos que faciliten el ejercicio por los afectados de sus derechos de acceso, rectificación, cancelación y oposición.
  • Detallar los procedimientos que faciliten el ejercicio de los derechos de los afectados al recabar y tratar los datos.
  • La determinación de las cesiones y transferencias internacionales de datos que, en su caso, se prevean, con indicación de las garantías que deban adoptarse.
  • Se detallará el nivel mínimo de medidas de seguridad a aplicar, con enumeración de ellas. Si se decide aplicar un nivel mas alto, debe hacerse constar.
  • Las acciones formativas en materia de protección de datos dirigidas a quienes los traten, especialmente en cuanto a su relación con los afectados.

2.2.2. Relación de documentos anexados.

Los códigos tipo, deberán incluir siempre anexados, los siguientes modelos de documentos:
  • Cláusulas tipo para la obtención del consentimiento de los afectados al tratamiento o cesión de sus datos.
  • Cláusulas tipo para informar a los afectados del tratamiento, cuando los datos no sean obtenidos de los mismos.
  • Modelos para el ejercicio por los afectados de sus derechos ARCO de acceso, rectificación, cancelación y oposición.
  • Modelos de cláusulas para la contratación de un encargado del tratamiento, en su caso.

2.2.3. Procedimientos de supervisión.


Como garantías del cumplimiento, los códigos tipo deberán incluir procedimientos de supervisión independientes para garantizar el cumplimiento de las obligaciones asumidas por los adheridos, y establecer un régimen sancionador adecuado, eficaz y disuasorio. El procedimiento que se prevea deberá garantizar:
  • La independencia e imparcialidad del órgano responsable de la supervisión.
  • La sencillez, accesibilidad, celeridad y gratuidad para la presentación de quejas y reclamaciones ante dicho órgano por los eventuales incumplimientos del código tipo.
  • El principio de contradicción, que permita la audiencia del afectado ante el órgano de supervisión, concediéndole los medios de defensa oportunos.
  • Una graduación de sanciones que permita ajustarlas a la gravedad del incumplimiento. Esas sanciones deberán ser disuasorias y podrán implicar la suspensión de la adhesión al código o la expulsión de la entidad adherida. Asimismo, podrá establecerse, en su caso, su publicidad.
  • La notificación al afectado de la decisión adoptada.


Asimismo, y sin perjuicio de lo dispuesto en el artículo 19 de la LOPD, los códigos tipo podrán contemplar procedimientos para la determinación de medidas reparadoras en caso de haberse causado un perjuicio a los afectados como consecuencia del incumplimiento del código tipo.

2.2.4. Relación de adheridos.

El código tipo deberá incorporar como Anexo una relación de adheridos, que deberá mantenerse actualizada, a disposición de la Agencia Española de Protección de Datos.

2.3. CONTENIDO POTESTATIVO.

Los códigos tipo podrán incluir cualquier otro compromiso adicional que asuman los adheridos para un mejor cumplimiento de la legislación vigente en materia de protección de datos.
Además podrán contener cualquier otro compromiso que puedan establecer las entidades promotoras y, en particular, sobre:
  • La adopción de medidas de seguridad adicionales a las exigidas por la Ley Orgánica 15/1999, de 13 de diciembre.
  • La identificación de las categorías de cesionarios o importadores de los datos.
  • Las medidas concretas adoptadas en materia de protección de los menores o de determinados colectivos de afectados.
  • El establecimiento de un sello de calidad que identifique a los adheridos al código.


3. VENTAJAS Y OBLIGACIONES DE LOS ADHERIDOS.

3.1. VENTAJAS.

  • La adhesión a un código tipo permite ser utilizado como hoja de ruta o guía para la implantación y seguimiento del cumplimiento de la legislación vigente en materia de protección de datos personales en la empresa, y otras medidas y normativas adicionales que el creador del mismo haya establecido, siempre alineadas con las necesidades y problemática del sector.
  • Tanto si se establece un sello de calidad, como si no, adoptar un código de buenas prácticas reconocido en el sector, mejora la imagen frente a clientes, proveedores y otras entidades.
  • La propia AEPD está obligada a dar publicidad a los códigos tipo inscritos, a través de su página web y de su CD-ROM que distribuye anualmente junto a la memoria de la agencia.
  • El hecho de estar el código tipo registrado en el RGPD, contar con mecanismos de supervisión (autocontrol) y ser adscrito por múltiples empresas, nos garantiza una solvencia ante la AEPD.


3.2. OBLIGACIONES.
  • Los códigos tipo son de carácter vinculante. Los firmantes están obligados a cumplir las exigencias que recoja el documento, que pueden en algunos casos superar a las estrictamente legales. Los promotores del código tipo pueden fijar revisiones, generalmente anuales, de su cumplimiento.
  • Los códigos tipo suelen incluir un régimen sancionador en caso de incumplimiento por parte de los adheridos. Dichas sanciones no cubren la responsabilidad ante la AEPD, que podría llegar a imponer su propia multa por la misma infracción.

4. INSCRIPCIÓN POR EL PROMOTOR.

4.1. SOLICITUD DE INSCRIPCIÓN.

La solicitud de inscripción de un código tipo deberá ajustarse a los requisitos establecidos en los artículos 68 y 70 de la Ley 30/1992, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común y en el artículo 145 del Reglamento de desarrollo de Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal.

 El procedimiento para la inscripción en el RGPD (Registro General de Protección de Datos) de los códigos tipo se iniciará siempre a solicitud de la entidad, órgano o asociación promotora del código tipo.

 Para que los códigos tipo puedan ser considerados como tales a los efectos previstos en el artículo 32 de la Ley Orgánica 15/1999, de 13 de diciembre, deberán ser depositados e inscritos en el RGPD de la AEPD, sin perjuicio de su inscripción, cuando corresponda, en los registros que fueran creados por las Comunidades Autónomas, de acuerdo con lo dispuesto en el apartado 2 del artículo 41 de la Ley Orgánica 15/1999, de 13 de diciembre.

 A tal efecto, los códigos tipo deberán ser presentados ante la Agencia Española de Protección de Datos, para tramitar su inscripción.

 La Agencia Española de Protección de Datos dará publicidad a los códigos tipo inscritos, preferentemente a través de medios informáticos o telemáticos.


4.2. DOCUMENTOS NECESARIOS.







La solicitud, que deberá reunir los requisitos legalmente establecidos, habrá de acompañarse de los siguientes documentos:
  • Acreditación de la representación que concurra en la persona que presente la solicitud.
  • Contenido del acuerdo, convenio o decisión por la que se aprueba, en el ámbito correspondiente el contenido del código tipo presentado.
  • En caso de que el código tipo proceda de un acuerdo sectorial o una decisión de empresa, se requiere la certificación referida a la adopción del acuerdo y legitimación del órgano que lo adoptó.
  • En el supuesto contemplado en la letra anterior, copia de los estatutos de la asociación, organización sectorial o entidad en cuyo marco haya sido aprobado el código.
  • En caso de códigos tipo presentados por asociaciones u organizaciones de carácter sectorial, documentación relativa a su representatividad en el sector.
  • En caso de códigos tipo basados en decisiones de empresa, descripción de los tratamientos a los que se refiere el código tipo.
  • Código tipo sometido a la Agencia Española de Protección de Datos.


4.3. PROCEDIMIENTO DE INSCRIPCIÓN.









  • Solicitud de la entidad, órgano o asociación promotora del código tipo a la AEPD.
  • Durante los treinta días siguientes a la notificación o, en su caso, subsanación de los defectos, se podrá convocar a los solicitantes, a fin de obtener aclaraciones o precisiones relativas al contenido sustantivo del código tipo.
  • Informe del RGPD sobre las características del proyecto de código tipo, y remisión al Gabinete Jurídico, a fin de que por el mismo se informe acerca del cumplimiento de los requisitos establecidos en el Título VII del Reglamento.
  • Trámite de información pública que se remite al BOE (10 días).
  • Concluidos los trámites previstos, el Director de la Agencia resolverá la autorización de inscripción del código tipo en el Registro General de Protección de Datos.
  • En cualquier fase del procedimiento, se podrá requerir al solicitante para que complete o modifique la documentación presentada en el plazo de 30 días, (se declarará la suspensión del procedimiento por el tiempo que medie entre la notificación del requerimiento y su efectivo cumplimiento por el promotor o, en su defecto, el transcurso del plazo concedido para subsanar-30 días-).
  • En caso de subsanación, concluidos los trámites previstos del procedimiento, el Director de la Agencia resolverá la autorización de inscripción del código tipo en el Registro General de Protección de Datos.

5. OBLIGACIONES DEL PROMOTOR.

Las entidades promotoras de códigos tipo tendrán las siguientes obligaciones:
  • Mantener accesible al público la información actualizada sobre las entidades promotoras, el contenido del código tipo, los procedimientos de adhesión y de garantía de su cumplimiento y la relación de adheridos referida anteriormente. Esta información deberá presentarse de forma concisa y clara y estar permanentemente accesible por medios electrónicos.
  • Remitir a la AEPD una memoria anual sobre las actividades realizadas para difundir el código tipo y promover la adhesión a éste, las actuaciones de verificación del cumplimiento del código y sus resultados, las quejas y reclamaciones tramitadas y el curso que se les hubiera dado y cualquier otro aspecto que las entidades promotoras consideren adecuado destacar.
  • Evaluar periódicamente la eficacia del código tipo, midiendo el grado de satisfacción de los afectados y, en su caso, actualizar su contenido para adaptarlo a la normativa general o sectorial de protección de datos existente en cada momento. Esta evaluación deberá tener lugar, al menos, cada cuatro años, salvo que sea precisa la adaptación de los compromisos del código a la modificación de la normativa aplicable en un plazo menor.
  • Favorecer la accesibilidad de las personas que tengan alguna discapacidad o de edad avanzada a toda la información disponible sobre el código tipo.


6. LA COMISIÓN EUROPEA.

6.1. OPINIÓN DEL GRUPO DE TRABAJO.


Opinión del Grupo de Trabajo sobre protección de las personas en lo que respecta al tratamiento de datos personales. DG XV D/5057/97 final - WP7:
  • La autorregulación debería evaluarse utilizando el enfoque funcional y objetivo establecido en el documento “Primeras orientaciones”.
  • Para que un instrumento de autorregulación pueda considerarse un elemento válido para una “protección adecuada” debe ser vinculante para todos los miembros a quienes se transfieran los datos personales y proporcionar una protección adecuada si los datos se transfieren a terceros.
  • El instrumento debe ser transparente e incluir el contenido básico de los principios esenciales de la protección de datos.
  • El instrumento debe tener mecanismos que garanticen de forma eficaz un nivel satisfactorio de cumplimiento general. Una forma de lograr esto es el establecimiento de un sistema de sanciones disuasorias y punitivas. Otro sistema son las auditorías externas obligatorias.
  • El instrumento debe proporcionar apoyo y ayuda a los interesados que se enfrenten a un problema relativo al tratamiento de sus datos personales. Por ello, debe existir un órgano independiente, imparcial y de fácil acceso que acoja las denuncias de los interesados y resuelva sobre las violaciones del código.
  • El instrumento deberá garantizar una reparación adecuada en caso de incumplimiento. Los interesados deberán poder obtener una  reparación de su problema y una compensación adecuada.


6.2. PRINCIPIOS BÁSICOS.

Se sugiere la inclusión de los siguientes principios básicos en la autorregulación en base a códigos de conducta:
  • Principio de limitación de objetivos - los datos deberán tratarse con un objetivo específico y posteriormente utilizarse únicamente en cuanto ello no sea incompatible con el objetivo inicial. Las únicas excepciones a esta norma serían las necesarias en una sociedad democrática por una de las razones expuestas en el artículo 13 de la Directiva.
  • Principio de proporcionalidad y de calidad de los datos - los datos deberán ser exactos y, cuando sea necesario, estar actualizados. Los datos deberán ser adecuados, relevantes y no excesivos en relación al objetivo por el que se han sido recabados o nuevamente tratados.
  • Principio de transparencia - deberá informarse a los interesados acerca del objetivo del tratamiento y de la identidad del responsable del tratamiento, y de cualquier otra cuestión siempre que resulte necesario para garantizar la equidad. Las únicas excepciones permitidas deberán corresponder a los artículos 11(2) y 13 de la Directiva.
  • Principio de seguridad - el responsable del tratamiento deberá adoptar medidas técnicas y organizativas adecuadas a los riesgos que presenta el tratamiento. Toda persona que actúe bajo la autoridad del responsable del tratamiento, incluido el encargado del tratamiento, no deberá tratar los datos salvo por instrucción del responsable del tratamiento.
  • Derechos de acceso, rectificación y oposición - el interesado deberá tener derecho a obtener una copia de todos los datos a él relativos, y derecho a rectificar aquellos datos que resulten ser inexactos. En determinadas situaciones, el interesado deberá también ser capaz de oponerse al tratamiento de los datos a él relativos. Las únicas excepciones a estos derechos deberán estar en línea con el artículo 13 de la Directiva.
  • Restricciones respecto a transferencias sucesivas a otros países terceros - únicamente deberán permitirse transferencias sucesivas de datos personales del país tercero de destino a otro país tercero en el caso de que este último país tercero garantice asimismo un nivel de protección adecuado. Las únicas excepciones permitidas deberán estar en línea con el artículo 26 de la Directiva.

A continuación figuran ejemplos de principios adicionales que deberán aplicarse a tipos específicos de tratamientos:
  • Datos sensibles - cuando se trate de categorías de datos “sensibles” (las incluidas en el artículo 8), deberán establecerse protecciones adicionales, tales como la exigencia de que el interesado otorgue su consentimiento explícito para el tratamiento.


7. CÓDIGOS TIPO INSCRITOS EN EL RGPD.

Se relacionan los códigos tipo inscritos en el RGPD de la AEPD. El último se ha presentado en la agencia autonómica vasca.

Para algunos de ellos (marcados en azul como hipertexto), puede consultarse la documentación presentada y la resolución correspondiente de la AEPD:




































































8. LEGISLACIÓN APLICABLE.


8.1. DIRECTIVA 95/46/CE de 24 de Octubre.


CAPÍTULO V - CÓDIGOS DE CONDUCTA

Artículo 27

1. Los Estados miembros y la Comisión alentarán la elaboración de códigos de conducta destinados a contribuir, en función de las particularidades de cada sector, a la correcta aplicación de las disposiciones nacionales adoptadas por los Estados miembros en aplicación de la presente Directiva.

2. Los Estados miembros establecerán que las asociaciones profesionales, y las demás organizaciones representantes de otras categorías de responsables de tratamientos, que hayan elaborado proyectos de códigos nacionales o que tengan la intención de modificar o prorrogar códigos nacionales existentes puedan someterlos a examen de las autoridades nacionales.

Los Estados miembros establecerán que dicha autoridad vele, entre otras cosas, por la conformidad de los proyectos que le sean sometidos con las disposiciones nacionales adoptadas en aplicación de la presente Directiva. Si lo considera conveniente, la autoridad recogerá las observaciones de los interesados o de sus representantes.

3. Los proyectos de códigos comunitarios, así como las modificaciones o prórrogas de códigos comunitarios existentes, podrán ser sometidos a examen del grupo contemplado en el artículo 29. Éste se pronunciará, entre otras cosas, sobre la conformidad de los proyectos que le sean sometidos con las disposiciones nacionales adoptadas en aplicación de la presente Directiva. Si lo considera conveniente, el Grupo recogerá las observaciones de los interesados o de sus representantes. La Comisión podrá efectuar una publicidad adecuada de los códigos que hayan recibido un dictamen favorable del grupo.


8.2. LOPD: Ley Orgánica 15/1999, de 13 de diciembre.

Artículo 32. Códigos tipo.

1. Mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos de titularidad pública y privada, así como las organizaciones en que se agrupen, podrán formular códigos tipo que establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la presente Ley y sus normas de desarrollo.

2. Los citados códigos podrán contener o no reglas operacionales detalladas de cada sistema particular y estándares técnicos de aplicación.

En el supuesto de que tales reglas o estándares no se incorporen directamente al código, las instrucciones u órdenes que los establecieran deberán respetar los principios fijados en aquél.

3. Los códigos tipo tendrán el carácter de códigos deontológicos o de buena práctica profesional, debiendo ser depositados o inscritos en el Registro General de Protección de Datos y, cuando corresponda, en los creados a estos efectos por las Comunidades Autónomas, de acuerdo con el artículo 41. El Registro General de Protección de Datos podrá denegar la inscripción cuando considere que no se ajusta a las disposiciones legales

y reglamentarias sobre la materia, debiendo, en este caso, el Director de la Agencia de Protección de Datos requerir a los solicitantes para que efectúen las correcciones oportunas.


8.3. RLOPD: Real Decreto 1720/2007, de 21 de diciembre.

Por su extensión, los artículos correspondientes a códigos tipo solamente son relacionados.

TÍTULO VII

Códigos tipo

Artículo 71. Objeto y naturaleza.
Artículo 72. Iniciativa y ámbito de aplicación.
Artículo 73. Contenido.
Artículo 74. Compromisos adicionales.
Artículo 75. Garantías del cumplimiento de los códigos tipo.
Artículo 76. Relación de adheridos.
Artículo 77. Depósito y publicidad de los códigos tipo.
Artículo 78. Obligaciones posteriores a la inscripción del código tipo.
  
CAPÍTULO VI
Procedimiento de inscripción de códigos tipo
Artículo 145. Iniciación del procedimiento.
Artículo 146. Análisis de los aspectos sustantivos del código tipo.
Artículo 147. Información pública.
Artículo 148. Mejora del código tipo.
Artículo 149. Trámite de audiencia.
Artículo 150. Resolución.
Artículo 151. Duración del procedimiento y efectos de la falta de resolución expresa.
Artículo 152. Publicación de los códigos tipo por la Agencia Española de Protección de Datos.

9. BIBLIOGRAFÍA CONSULTADA.

 

-         Javier Álvarez Hernando. GUÍA PRÁCTICA SOBRE PROTECCIÓN DE DATOS. Editorial Lex Nova. Junio 2011. Tema 13, [páginas 518 a 529]. [Destacable el esquema procedimental que aparece en la página 529, que no reproduzco por Derechos de Autor].


-         ADRINFOR, SL. LEY DE PROTECCIÓN DE DATOS, CONCEPTOS FUNDAMENTALES. Unidad 7 (Los Códigos Tipo y las Transferencias Internacionales de Datos), [páginas 1 a 4].

-         AEPD. Página web www.agpd.es . Canal del responsable del fichero. Elaboración de Códigos Tipo.

-         Parlamento europeo y Consejo. Directiva 95/46/CE. Capítulo V. CÓDIGOS DE CONDUCTA. Artículo 27, [páginas 19 y 20].
-         Comisión Europea. Grupo de trabajo sobre protección de las personas en lo que respecta al tratamiento de datos personales. DG XV D/5004/98 - WP 13. PROCEDIMIENTO DE ADMISIÓN Y EXAMEN DE LOS CÓDIGOS DE CONDUCTA COMUNITARIOS POR EL GRUPO DE TRABAJO.10 de septiembre de 1998.
-         Comisión Europea. Grupo de trabajo sobre protección de las personas en lo que respecta al tratamiento de datos personales. DG XV D/5057/97 final - WP 7. EVALUACIÓN DE LA AUTORREGULACIÓN INDUSTRIAL. 14 de Enero de 1998.
  
10. DERECHOS DE AUTOR.

Todas las imagines bajo licencia 123RF Internacional o extraídas de los documentos referenciados en el apartado BIBLIOGRAFÍA CONSULTADA.
La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.


Sobre el autor:

José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC.

A nivel de especialización técnica, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado.

También colabora con BSI como auditor jefe de certificación e impartiendo formación para la obtención de la certificación de lead auditor, en diferentes marcos normativos. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y   asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales),  habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.


  

No hay comentarios:

Publicar un comentario