sábado, 24 de septiembre de 2016

La dovela central del Reglamento Europeo de Protección de Datos (RGPDUE)


Resumen: El Reglamento (UE) 2016/679 representa un cambio significativo en relación a cómo debe entenderse la protección de los datos de naturaleza personal en la Unión Europea. En él se traslada el centro de gravedad desde los ficheros de datos hacia los tratamientos, dotando de mayor cobertura a los derechos y libertades de los ciudadanos ante los nuevos retos que surgen fruto del progreso tecnológico.


Autor del artículo
Colaboración
José Luis Colom Planas
Equipo jurídico de GOVERTIS
Actualizado

21 de enero de 2017




Índice

1. Introducción
2. Cambio estratégico en el RGPDUE
3. Los conceptos de tratamiento y de fichero
4. Pese a todo, los ficheros seguirán existiendo
5. ¿Dónde aplicar los principios de protección de datos?
6. Registro de las actividades de tratamiento
7. Epílogo
8. Bibliografía consultada
9. Control de cambios del artículo
10. Derechos de autor



1. Introducción

La aprobación del Reglamento (UE) 2016/679 [1] , de 27 de abril, Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, conocido como Reglamento General de Protección de Datos de la Unión Europea (RGPDUE), representa un cambio de mentalidad respecto a lo que estábamos acostumbrados en España mediante la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), su Reglamento de desarrollo en base al Real Decreto 1720/2007, de 21 de diciembre (RLOPD) y demás legislación concordante.

Es cierto que el RGPDUE introduce un elenco de novedades, tratadas exhaustivamente por diferentes compañeros. [2] Incluso han sido analizadas a partir del borrador, años antes de su aprobación definitiva, con elevado nivel de acierto. [5]

No obstante, a mi entender, de todas ellas hay dos que son las más relevantes, especialmente la segunda:
  • La primera novedad es la Evaluación de Impacto en la Protección de Datos (EIPD), también conocida en lengua anglosajona como Privacy Impact Assessment (PIA), que ha sido tratada con exhaustividad en este mismo blog y por otros autores. [4] Viene a sustituir la actual clasificación cualitativa basada en niveles de los datos personales -básico, medio y alto-, y las consecuentes medidas de seguridad asociadas (Vid. Art. 7 LOPD y Art. 81 RLOPD), sustituyéndola en el RGPDUE por una evaluación de riesgo respecto a los derechos y libertades que representan los tratamientos aplicados sobre esos datos. Dichos valores de riesgo se obtendrán mediante la realización de una EIPD.  Pese a todo, se continúan identificando en el artículo 9 RGPDUE las categorías especiales de datos, prohibiéndose su tratamiento salvo que concurra alguna circunstancia de las que en el mismo artículo se determinan. La EIPD es un instrumento fundamental en la Privacidad desde el Diseño (PbD) y por defecto, según se señala en el artículo 25 RGPDUE. [3]
  • La segunda novedad es estratégica y emana del propio Reglamento en su conjunto. Para mí es la principal, ya que marca un cambio significativo respecto a la legislación anterior (todavía vigente en el momento de redactar este artículo al encontrarse el RGPDUE en período de “vacatio legis” hasta mayo de 2018, fecha en que será de aplicación directa a todos los estados miembros de la unión). La comentaré seguidamente.



2. Cambio estratégico en el RGPDUE

De alguna manera con el RGPDUE se desplaza el centro de gravedad de la norma jurídica, desde proteger ficheros, cómo estábamos acostumbrados mediante la LOPD y RLOPD, hacia asegurar tratamientos.
  • Se pasa de un concepto de protección estática a protección dinámica que ya se vislumbra si comparamos el título de la LOPD “Ley Orgánica 15/1999, de 13 de diciembre, de Protección de DATOS de Carácter Personal” con el del nuevo RGPD “Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al TRATAMIENTO de datos personales y a la libre circulación de estos datos”.
  • No se requiere publicitar los ficheros en el Registro General de Protección de Datos (RGPD) de la Autoridad de Control, en España la AEPD, lo que corrobora esa traslación desde los datos personales, pese a ser el bien jurídico a proteger, hacia los tratamientos sobre esos datos, que son los que entrañan riesgo. Recordaré que en última instancia el mero hecho de poseer datos personales (almacenarlos), ya se considera una forma de tratamiento.



NOTA DEL EDITOR: No confundir las siglas RGPD correspondientes al Registro General de Protección de Datos de la AEPD, con las siglas RGPDUE correspondientes al Reglamento General de Protección de Datos de la Unión Europea. Por desgracia coinciden en parte pero, por suerte, el primero quedará en desuso con la aplicación efectiva del segundo, evitándose confusiones a partir de entonces.



En cierto modo, este nuevo planteamiento es una consecuencia lógica en la era del Big Data, donde la aplicación de tratamientos constituidos por técnicas analíticas a grandes volúmenes de información –estructurada o desestructurada-, permite inferir conocimiento. Algunas veces incluso combinando fuentes que por separado podríamos llegar a considerar anonimizadas o inocuas respecto a la protección de datos. En consecuencia, ese conocimiento se infiere en ocasiones debido a los tratamientos y no es inherente a los datos en sí mismos.

Como ya he señalado, este planteamiento lo corrobora el hecho de que ya no sea necesario publicitar los ficheros en el correspondiente registro general de la Autoridad de Control competente, debiendo en cambio mantener, el responsable o el encargado del tratamiento, registros de las actividades de tratamiento bajo su responsabilidad. Sobre estos registros volveré más adelante en este mismo artículo.



3. Los conceptos de tratamiento y de fichero

Si consultamos las diferentes normas jurídicas relacionadas con la privacidad en los distintos ordenamientos jurídicos sobre la definición de tratamiento, veremos conceptos similares, aunque con sutiles diferencias.

Según el artículo 4.2) RGPDUE: “«tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;.

Si la comparamos en España con la LOPD y RLOPD respectivamente:
  • Según el artículo 3.c) LOPD: Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
  • Según el artículo 5.t) RLOPD: Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.”.



Vemos que en las Normas españolas, se insistía en operaciones técnicas, cuando en el RGPDUE es cualquier operación o conjunto de operaciones, dando así la máxima amplitud de significado al que deviene en eje central del Reglamento europeo.

Mientras que la definición de fichero es, según el artículo 4.6) RGPDUE: “«fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica”.

Aquí yo hubiera abogado por definirlo como “todo conjunto de datos personales” sin distinción en estructurados o desestructurados, ya que las principales bases de datos empleadas como repositorios de Big Data son desestructuradas o “No SQL”. La experiencia demuestra que concretar mucho no siempre es la mejor solución en base al principio de universalidad.

Existe otra forma de ver el mayor nivel de empoderamiento de los tratamientos, frente a un fichero:
  • El fichero tiene per se una única finalidad asociada, que es agrupar un conjunto de datos para facilitar su acceso y localización, llevando siempre asociado de forma inherente un tratamiento, que es el de almacenamiento y conservación de su contenido.
  • El tratamiento incorpora múltiples posibilidades: comunicación y transferencia de datos, obtención de resultados, reelaboración de los datos de partida posibilitando crear otros de nuevos, etc.

Una curiosidad al respecto es que no puede existir fichero sin tratamiento (aunque sea el mero almacenamiento), pero sí tratamiento sin fichero, como podría ser el visionado de imágenes de videovigilancia sin grabación, por un vigilante de seguridad.



4. Pese a todo, los ficheros seguirán existiendo

Es una obviedad, como ya he dicho, que el dato personal es el bien jurídico a proteger, y el que da sentido a los tratamientos. Sin datos personales no pueden existir los tratamientos sobre ellos.

Luego el contenido esencial del derecho fundamental a la protección de datos está basado en un conjunto de normas (principios y reglas) de obligado cumplimiento para el que trata la información personal y que van dirigidas a proteger el dato personal considerado en sí mismo, a la vez que se limitan los tratamientos a que pueda ser sometido. Para ello se definen un conjunto de medidas preventivas de defensa, tanto jurídicas como organizativas y técnicas, que protejan a la información personal desde el mismo momento que se recaba, y a los tratamientos que se le aplicarán, durante todo su ciclo de vida.

En base a esta idea, no se puede prescindir ni del uno, ni del otro, dentro de cualquier marco jurídico de protección de datos. Y técnicamente tampoco, ya que, con independencia de declararlos en la Autoridad de Control, o no, los ficheros físicos siguen existiendo como requerimiento técnico para soportar los datos.

Para mí, lo que introduce el RGPDUE es más bien una variación en el enfoque más que una discusión ontológica. No se trata de buscar la esencia del fichero o del tratamiento, ya que ambos siempre han existido y existirán. Nada cambia respecto a ellos. Únicamente el fichero cede protagonismo frente a los tratamientos debido al abanico de posibilidades que deben ser tenidas en cuenta en las evaluaciones, pero no implica que el primero deba ser ninguneado.



5. ¿Dónde aplicar los principios de protección de datos?

No siempre será posible asociar principios de protección de datos a los tratamientos, como tampoco podrá hacerse a los ficheros.  Como ejemplo, el principio de limitación de la finalidad se aplica a tratamientos, no a ficheros. En consecuencia se puede intentar elaborar una relación de principios que emanan de las normas jurídicas, como es el RGPDUE,  y comprobar si aplican únicamente a los tratamientos, a los ficheros de datos, o a ambos.  Recordemos que medidas para proteger esos principios, las hay jurídicas, organizativas y técnicas.

Una primera aproximación de partida podría ser la siguiente, pese a no existir un absoluto consenso en su elaboración:



 (*) Nota: (ARC)=Acceso, Rectificación y Cancelación; (OS)= Oposición y Supresión (Olvido).

Principio de protección de datos
(sin pretender ser una relación exhaustiva)
Elemento al que aplica principalmente


Consentimiento informado
Tratamientos
Ficheros
Limitación en el recabado de datos
Tratamientos
Ficheros
Calidad de los datos

Ficheros
Especificación del propósito
Tratamientos

Limitación de la finalidad
Tratamientos

Transparencia
Tratamientos
Ficheros
(*) Ejercicio de derechos (ARC) (OS)
(OS) Tratamientos
(ARC)
Ficheros
Rendición de cuentas
Tratamientos

Velar por las Transferencias Internacionales de Datos (TID)
Tratamientos

También podría verse desde la perspectiva de Ficheros si no fuera una cesión “intencionada”. En caso contrario, esa actividad o acción de ceder constituiría un Tratamiento.
Velar por las cesiones de datos
Tratamientos

También podría verse desde la perspectiva de Ficheros si no fuera una cesión “intencionada”. En caso contrario, esa actividad o acción de ceder constituiría un Tratamiento.
Principio de seguridad
Tratamientos
Ficheros



Vemos que a pesar de predominar el color verde en la aplicación de principios de la protección de datos sobre tratamientos, el color naranja, que he asignado arbitrariamente a los ficheros, en absoluto desaparece.





6. Registro de las actividades de tratamiento


El artículo 30.1 RGPDUE dispone: “Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación: (…)”, pasando a detallar su contenido en los epígrafes del a) al g). También el apartado 2 del mismo artículo señala: Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga: (…)”,  pasando también a detallar su contenido en los epígrafes del a) al d).


El artículo 30.3 RGPDUE dispone: “Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico” y el 30.4 El responsable o el encargado del tratamiento  y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite”.


Con estos tres primeros apartados del art. 30 RGPDUE, el legislador europeo ha sido coherente con el espíritu del Reglamento, que no es otro que velar para que se identifiquen los riesgos que puedan socavar los principios generales de la protección de datos, cuando se apliquen tratamientos a los datos de naturaleza personal.


6.1 Todo el valor aportado se pierde instaurando umbrales

Igual que ha pasado en otros marcos normativos, como es la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo y su Reglamento de aplicación, el RD 304/2014, de 5 de mayo, los umbrales de exención de obligaciones son el peor enemigo de la aplicación efectiva de la legislación, según opinión mayoritaria de los compañeros que también tenemos esa área de práctica del Derecho.

En este caso que nos ocupa, se echa por tierra todo el beneficio que aporta el instrumento jurídico que estamos analizando, cuando añade un cuarto apartado al art. 30 RGPDUE que señala Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10”.

Hemos de tener en cuenta que las pequeñas y medianas empresas representan el 99,9% de las organizaciones que hay en España según recoge un informe que realiza la Dirección General de Industria y de la PYME, un órgano dependiente del Ministerio de Industria, Turismo y Agenda Digital. Luego en España, salvo las empresas que realicen tratamientos de categorías especiales de datos personales según se recoge en el art. 9 RGPDUE, muy pocas deberán llevar el registro de actividades de tratamiento.

Es evidente que si no se identifican los tratamientos, es imposible conocer que riesgos entrañan respecto a los principios de la protección de datos recogidos en el art. 5.1 RGPDUE “Principios relativos al tratamiento”, y menos poder aplicar el principio de “accountability” (traducido en la versión española por “responsabilidad proactiva”) introducido por el art. 5.2 RGPDUE “El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»)”, que señala implícitamente la necesidad de documentar siempre las actividades de tratamiento para poder demostrar, en calidad de responsable o encargado, el debido control sobre las mismas. ¿Cómo se puede demostrar control sobre algo que no se tiene ni tan siquiera relacionado?

El art. 30.4 carece de coherencia jurídica con la ratio legis del Reglamento Europeo, al menos en países como el nuestro donde las grandes empresas representan apenas un 0,1% del tejido empresarial (de cada 1000 empresas, únicamente una debería llevar obligatoriamente el registro de actividades de tratamiento, salvo excepciones).

Yendo más allá, en relación a la Evaluación de Impacto relativa a la Protección de Datos (EIPD) se dispone en el art. 35.1 RGPDUE: “Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares”.

Es evidente que para poder evaluar el nivel de riesgo que entraña un tratamiento debemos, de entrada, tenerlo identificado. Luego si para cada tratamiento decidimos si debemos hacer o no una EIPD, estaremos confeccionando ya la base del registro de actividades de tratamiento.

Lege ferenda, esperemos que el legislador europeo se dé cuenta de la que para mí es una falta de coherencia legislativa y en una futura reforma lo subsane.  Otra opción sería que, dado el tamaño de las empresas Españolas, la autoridad de control (AEPD) recomendara la confección en todos los casos de dicho registro para poder acreditar el principio de accountability y para demostrar que se han tenido en cuenta todos los tratamientos para llegar a discernir de cuales se justifica el haber realizado una EIPD.

En cualquier caso, siempre según mi opinión particular, el llevar un registro de actividades de tratamiento dará seguridad jurídica al responsable o encargado que disponga de él, especialmente si debe hacerse frente a una inspección.



7. Epílogo

Para mí el artículo 30 RGPDUE, sobre los registros de las actividades de tratamiento (RAT), debería ser la dovela central del Reglamento General Europeo de Protección de Datos. Es el hilo conductor del principio de “accountability” en relación a las actividades de tratamiento sobre los datos de naturaleza personal.

Ya hemos visto que los tratamientos se vuelven nucleares en el RGPDUE, junto al propio dato personal en sí mismo. Incluso el considerando (82) señala “Para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento.”.

Yendo un poco más allá, las EIPD deben hacerse, según dispone el artículo 35.1 RGPD, Cuando sea probable que un tipo de TRATAMIENTO, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas”. No se hace una EIPD sobre un fichero de datos, sino sobre un tratamiento de datos personales.

Por todo lo desarrollado aquí, vemos que el RGPDUE dota a la protección de los derechos y libertades de los ciudadanos de la Unión Europea de mayor grado de coherencia y homogeneidad en sus disposiciones por el hecho de poner, con mayor intensidad, el foco en los tratamientos, aunque luego se deshinche aplicando umbrales demasiado restrictivos.



8. Bibliografía consultada

- [1] Reglamento (UE) 2016/679, de 27 de abril, Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. “Reglamento General de Protección de Datos de la Unión Europea (RGPDUE)”.
RGPDUE


- [2] Eduard Chaveli Donet. “Algunas novedades del recientemente aprobado Reglamento General de Protección de Datos de la Unión Europea”. Tribuna de la publicación COMUNICAV del Ilustre Colegio de Abogados de Valencia. Pág. 28 y 29. Agosto 2016.
Novedades RGPDUE

- [3] José Luis Colom. “Recopilación de entradas sobre Privacidad desde el Diseño (PbD)”. Blog Aspectos Profesionales. Junio de 2015.
Privacidad desde el Diseño (PbD)

- [4] Eduard Chaveli Donet. “Cómo realizar una Evaluación de Impacto en Protección de Datos (EIPD) en el marco del Reglamento General de Protección de Datos de la Unión Europea (RGPDUE)”, parte 1 (6 de septiembre 2016), parte 2 (13 de septiembre 2016) y parte 3 (20 de septiembre 2016). Blog de GOVERTIS.
Cómo realizar una EIPD, Parte 1

Cómo realizar una EIPD, Parte 2

Cómo realizar una EIPD, Parte 3

- [5] Emilio Aced Félez. “La nueva Propuesta de Reglamento General de Protección de Datos de la Unión Europea”. Blog Aspectos Profesionales. Enero de 2013.
Comentarios al borrador del RGPDUE





9. Control de cambios del artículo


Siguiendo voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a los artículos de este Blog permitiendo conocer la trazabilidad de los mismos una vez han sido publicados por primera vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión de responsabilidad del Blog.

Fecha
Cambio
Responsable
01/10/2016
Redacción inicial del artículo
Autor
21/01/2017
A raíz de una amable colaboración del compañero Fernando Mª Ramos Suárez, se modifica el apartado 6 “Registro de las actividades de tratamiento” para adecuarlo al texto definitivo del RGPDUE.
Autor















10. Derechos de autor

Imágenes bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación en este blog.

Tablas creadas por el autor.



La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.



Sobre el autor:



José Luis Colom Planas
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente en el Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC y registrado en el Servicio Ejecutivo de la Comisión de Blanqueo de Capitales (SEPBLAC).

A nivel de especialización técnica y de gestión, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en la entidad de certificación AUDERTIS como Director de Auditoría y Cumplimiento Normativo. También colabora con la entidad certificadora British Standards Institution (BSI) como auditor jefe de certificación e impartiendo formación para la obtención de la acreditación como lead auditor, en diferentes marcos normativos, incluidas las especificaciones del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado. Anteriormente ha ostentado la posición de Director de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la información y PBC/FT.

Convencido del valor que aportan las organizaciones profesionales, es vocal de la Junta Directiva - miembro de la Comisión de Educación y Certificaciones de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales y FT), socio de CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo), asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de ENATIC (Asociación de expertos nacionales de la abogacía TIC), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. Ha obtenido, junto a algunos miembros de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT), un premio compartido otorgado por la AEPD.




2 comentarios:

  1. Hola José Luis, me ha gustado tu visión sobre el nuevo RGPD en la que coincido plenamente, sin embargo me da la sensación que no está actualizado, ya que para en la obligación del Registro de Actividades comentas que aplica el art. 24 cuando es el 30 y precisamente establece la limitación de los 250 trabajadores. Otra cuestión es que sea recomendable realizar un registro de actividades voluntario, ya que como bien dices difícilmente se puede realizar una adecuación al RGPD sin identificar los tratamientos.

    salu2

    ResponderEliminar
    Respuestas
    1. Muchas gracias Fernando Mª por tu amable aportación. Efectivamente había referencias al borrador que cambiaban el sentido del apartado 6, que he rehecho. Saludos cordiales.

      Eliminar