2018
How does the RGPD impact your Dispatch,,es,May, new data protection rules will begin to be applied throughout the EU,,es?
Campoamor / 0 Comments /Data of natural persons,,es,Both lawyers and attorneys,,es,for the exercise of their professional work they can,,es,treat a lot of personal information,,es,of your clients or the opposing party,,es,and between them,,es,can deal with those data classified as special because they are particularly sensitive,,es,• They will be able to know data about criminal or administrative infractions in the scope of any trial of the penal or administrative order,,es,• Data on ethnic or racial origin in cases of immigration,,es,• Health data for a claim for a traffic accident,,es,labor,,es,or claim for damages in the health field,,es,• Data of minors in the field, for example, of a marriage dispute,,es
Tanto abogados como procuradores, para el ejercicio de su labor profesional pueden tratar una gran cantidad de datos personales de sus clientes o de la parte contraria, y entre ellos, pueden tratar con aquellos datos catalogados como especiales por ser especialmente sensibles. Así por ejemplo:
• Podrán conocer datos sobre infracciones penales o administrativas en el ámbito de cualquier juicio del orden penal o administrativo;
• Datos sobre origen étnico o racial en los casos de extranjería,
• Datos de salud por una reclamación por un accidente de tráfico, laboral, o reclamación por daños y perjuicios en el ámbito sanitario;
• Datos de menores en el ámbito por ejemplo de un contencioso matrimonial, immigration or family law,,es,If the activity of the professional is oriented to work with companies,,es,then,,es,attention should be paid to the,,es,personal data of managers,,es,and employees,,es,I can try,,es,Inventory of treatments,,es,From the entry in obligatory nature of the RGDP,,es,the registration of files in the General Registry of the Spanish Agency for Data Protection is no longer mandatory,,es,It will be necessary to maintain an inventory with the data treatments that are carried out both as the responsible of the treatment,,es,as a manager,,es,This document will contain,,es,• The data controller and Data Protection Delegate,,es,• The activity of the treatment,,es,• Purpose,,es,• Stakeholder categories,,es. However, si la actividad del profesional está orientada al trabajo con empresas, en ese caso, se deberá prestar atención a los datos personales de directivos, y empleados que pueda tratar.
Inventario de tratamientos
A partir de la entrada en obligatoriedad del RGDP (25 de mayo 2018), deja de ser obligatoria la inscripción de ficheros en el Registro General de la Agencia Española de Protección de Datos. Sin embargo, habrá que mantener un inventario con los tratamientos de datos que se realicen tanto en calidad de responsable del tratamiento, como de encargado. En este documento constarán:
• El responsable del tratamiento y el Delegado de Protección de datos, if
• La actividad del tratamiento
• La finalidad
• Las categorías de interesados
• The categories of personal data,,es,• Data transfers,,es,• International transfers,,es,• Storage life,,es,• Security measures,,es,it is a dynamic register that will have to be adapted as the dispatch activity evolves,,es,Custom sheets,,es,The RGPD establishes,,es,new obligations and reinforces other,,es,that were already being contemplated in the LOPD,,es,the order forms must include an informative clause indicating to the client what will be done with their data and the purposes of the treatment,,es,it must be reported,,es,• The identity and contact details of the person responsible for the treatment,,es,attorney,,pt,data from the data protection delegate,,es
• Las cesiones de datos
• Las transferencias internacionales
• El periodo de conservación
• Las medidas de seguridad
En cualquier caso, se trata de un registro dinámico que habrá que ir adaptando según evolucione la actividad del despacho.
Hojas de encargo
El RGPD establece nuevas obligaciones y refuerza otras que ya se venían contemplando en la LOPD. In this sense, las hojas de encargo deberán contemplar una cláusula informativa indicando al cliente qué se hará con sus datos y las finalidades del tratamiento (art. 13 and 14 RGPD ). So, se ha de informar sobre:
• La identidad y datos de contacto de responsable del tratamiento (abogado, procurador, etc.), y en su caso, los datos del delegado de protección de datos.
• The purposes of the treatment to which the personal data and the legal basis of the treatment are destined,,es,the exercise of legal claims and the legal basis,,es,the execution of the contract,,es,• The recipients of the data,,es,• The rights of the interested parties,,es,including filing a claim with the AEPD,,es,• The communication of the data if it is a legal requirement and if the data subject is obliged to provide the data and consequences of not doing so,,es,the professional must comply with the principle of legality of treatment,,es,the treatment will only be in accordance with RGPD if it meets at least one of the following conditions,,es, esto es, for example, el ejercicio de reclamaciones en vía judicial y la base jurídica, la ejecución del contrato.
• Los destinatarios de los datos.
• Los derechos de los interesados, incluyendo el interponer una reclamación ante la AEPD
• La comunicación de los datos si es un requisito legal y de si esta obligado el afectado de facilitar los datos y consecuencias de no hacerlo.
Also, el profesional deberá cumplir el principio de licitud del tratamiento, according to which, el tratamiento solo será conforme a RGPD si cumple al menos una de las siguientes condiciones:
• If the person in charge has obtained the client's unequivocal consent to process their data for each of the purposes,,es,• That the treatment is necessary for the execution of the contract in which the interested party is a party,,es,• That the treatment is necessary for the fulfillment of a legal obligation of the person responsible,,es,• Treatment is necessary to protect the vital interests of the person concerned or another natural person,,es,• The treatment is necessary for the fulfillment of a mission carried out in the public interest,,es,• The treatment is necessary for the satisfaction of legitimate interests pursued by the person responsible for the treatment,,es,in the case of special category data,,es,Health,,es,criminal offenses,,es;
• Que el tratamiento sea necesario para la ejecución del contrato en el que el interesado es parte;
• Que el tratamiento sea necesario para el cumplimiento de una obligación legal del responsable;
• El tratamiento sea necesario para proteger intereses vitales del interesado u otra persona física;
• El tratamiento sea necesario para el cumplimiento de una misión realizada en interés público;
• El tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento.
Further, cuando se trate de datos de categorías especiales (salud, infracciones penales, lower, etc.) you must have the express consent,,es,unless there is any of the circumstances of the section,,es,that the treatment is necessary for the formulation,,es,exercise or defense of claims,,es,In this sense it is interesting to highlight as an example that,,es,when in addition to the professional lawyer's own service provision,,es,are going to collect the customer data for commercial actions,,es,it must be specifically informed and its consent must be sought for this purpose,,es,Irrigation Analysis,,es,It is an important change when it comes to meeting the norm,,es,since this requirement was not established in the LOPD,,es,Before carrying out any type of data processing,,es,sending commercial communications,,es, salvo que concurra alguna de las circunstancias del apartado 2 del art. 9, como por ejemplo, que el tratamiento sea necesario para la formulación, ejercicio o defensa de reclamaciones.
En este sentido es interesante destacar como ejemplo que, cuando además de la propia prestación del servicio profesional del abogado, se vayan a recabar los datos del cliente para acciones comerciales, se deberá informar de ello específicamente y se deberá recabar su consentimiento para esta finalidad.
Análisis de Riegos
Se trata de un cambio importante a la hora de cumplir la norma, ya que este requisito no venía establecido en la LOPD. Antes de realizar cualquier tipo de tratamiento de datos, como por ejemplo, el envío de comunicaciones comerciales, a risk analysis has to be carried out,,es,to determine the criticality of the treatment,,es,and verify the security measures to adopt,,es,On certain occasions,,es,as those indicated in the art,,es,of the RGPD,,it,treatment of special data categories,,es,an Impact Assessment on the Protection of Personal Data must be carried out,,es,EIPD,,et,in the case of treatments performed by lawyers,,es,for the activity that they carry out and the risk that it could imply for the rights and freedoms of the clients,,es,It would be advisable to perform EIPD in those treatments in which,,es,• Data regarding administrative and criminal offenses,,es,• Data related to health data,,es,• Data relating to minors or people with disabilities,,es,In the rest,,es para determinar la criticidad del tratamiento, y verificar las medidas de seguridad a adoptar.
En determinadas ocasiones, como las que se indican en el art. 35 del RGPD (for example, tratamiento de categorías especiales de datos), se deberá realizar una Evaluación de Impacto en la Protección de Datos Personales (EIPD). For example, en el caso de los tratamientos realizados por abogados, por la actividad que realizan y el riesgo que podría suponer para los derechos y libertades de los clientes, sería aconsejable realizar EIPD en aquellos tratamientos en los que haya, inter alia:
• Datos relativos a infracciones administrativas y penales
• Datos relativos a datos de salud
• Datos relativos a menores o personas con discapacidad
En el resto, it will not be necessary to perform an EIPD but the risk analysis before starting to perform said treatment,,es,Confidentiality,,es,In accordance with the provisions of the RGPD,,es,the data that the lawyers deal with in the development of their professional activity will in many cases be data of those included in the special categories,,es,They are therefore especially sensitive,,es,so it is necessary to guarantee confidentiality about them and establish legal measures,,es,relevant technical and organizational,,es,Workers,,es,collaborators,,es,just as anyone who can access such information must sign,,es,a commitment of confidentiality,,es,Custody of information in paper and electronic,,es,In the custody of information in both paper and digital,,es.
Confidencialidad
En consonancia con lo establecido en el RGPD, los datos que tratan los abogados en el desarrollo de su actividad profesional serán en muchos casos datos de los incluidos en las categorías especiales. Son por ello especialmente sensibles, por lo que es necesario garantizar la confidencialidad sobre los mismos y establecer las medidas jurídicas, técnicas y organizativas pertinentes. In this sense, los trabajadores, colaboradores, así como cualquier persona que pueda acceder a dicha información deben firmar, inter alia, un compromiso de confidencialidad.
Custodia de la información en papel y electrónica
En la custodia de información tanto en papel como en digital, both the duty of confidentiality must be safeguarded,,es,like integrity principles,,es,availability and resilience of services and systems that process personal data,,es,the techniques must be applied,,es,such as data encryption or pseudonymisation,,es,and organizations that guarantee a safety according to the criticality of the data that are treated,,es,To determine that criticality,,es,the RGPD establishes that they must be carried out,,es,risk analysis by data processing,,es,that are made,,es,Notification of security breaches,,es,When there is a security breach in which personal data are affected and this breach may constitute a risk to the rights and freedoms of natural persons,,es, como los principios de integridad, disponibilidad y resiliencia de los servicios y sistemas que tratan datos personales. In this sense, se deberán aplicar las técnicas (como el cifrado de datos o la seudonimización) y organizativas que garanticen una seguridad acorde a la criticidad de los datos que se tratan. Para determinar esa criticidad, el RGPD establece que deberán realizarse análisis de riesgos por tratamientos de datos que se realicen.
Notificación de las brechas de seguridad
Cuando se produzca una brecha de seguridad en la cual se vean afectados datos personales y dicha brecha pueda constituir un riesgo para los derechos y las libertades de las personas físicas, will have to notify the situation to the Spanish Agency for Data Protection,,es,Security measures such as encryption of information are relevant,,es,since if the information is encrypted,,es,because the concrete personal data can not be known after the breach,,es,it would not be necessary to notify such a gap,,es,Notification to the supervisory authority must be made within the,,es,following hours of occurrence or knowing each other,,es,unless,,es,As indicated,,es,it is unlikely that such a security breach constitutes a risk to the rights and freedoms of natural persons,,es,the entity itself will have to document the incident to assess the situation for the purposes of a subsequent management of the crisis,,es.
In this sense, las medidas de seguridad como el cifrado de la información son relevantes, ya que si la información se encontrara cifrada, al no poder ser conocidos los concretos datos personales tras la brecha, no sería necesario notificar tal brecha.
La notificación a la autoridad de control deberá hacerse dentro de las 72 horas siguientes de producirse o conocerse, a menos que, como se ha indicado, sea improbable que dicha brecha de seguridad constituya un riesgo para los derechos y libertades de las personas físicas (art. 33 RGPD).
En cualquier caso, la propia entidad tendrá que documentar el incidente para valorar la situación a efectos de una posterior gestión de la crisis.
noticias.juridicas.com
