Bienvenidos al blog de hábeas data financiero y protección de datos personales

Bienvenidos al blog de hábeas data financiero y protección de datos personales


Invito a participar en este espacio a los interesados en la protección de datos personales, con la finalidad del enriquecimiento conjunto y colaboración con la sociedad.

Toda persona tiene derecho a conocer sus datos personales, que se encuentren en archivos, bases o bancos de datos y en caso de falsedad o discriminación, exigir la supresión, rectificación, confidencialidad o actualización de aquéllos.

En Argentina, la protección de datos personales se rige principalmente por el artículo 43, párr. 3º de la Constitución Nacional, la ley 25.326 y su decreto reglamentario 1558/2001.


Pueden dejar comentarios, sugerencias o enviar artículos de interés para ser publicados en este blog.


E-mail: contacto@habeasdatafinanciero.com


Libro Hábeas Data Financiero

jueves, 10 de agosto de 2017

El DPD

Posted: 01 Aug 2017 05:54 AM PDT
Directora de la Agencia Española de Protección de Datos


DELEGADO DE PROTECCIÓN DE DATOS

El Delegado de Protección de Datos: esquema de certificación, nombramiento, funciones y perfil requerido

Directora de la Agencia Española de Protección de Datos

El Reglamento General de Protección de Datos (RGPD) de la Unión Europea dispone que los responsables y encargados de tratamiento deben designar un Delegado de Protección de Datos (DPD) en los supuestos que determina el propio RGPD o en los supuestos que la legislación de los Estados Miembros establezca. 
Las funciones del DPD
El papel del DPD en las organizaciones es el de informar, asesorar, supervisar y cooperar con la autoridad de control, así como ser el punto de contacto para los interesados. Para desempeñar sus funciones deberá participar en todas las cuestiones relativas a la protección de datos personales recibiendo el apoyo de los responsables y encargados del tratamiento quienes igualmente le facilitarán los recursos necesarios para abordar sus funciones.

El DPD realizará sus funciones con total independencia, sin instrucciones por parte del responsable o del encargado del tratamiento, quienes garantizarán esta independencia evitando su destitución o sanción por sus decisiones relacionadas con el desempeño de su función de DPD. La posición del DPD será próxima a los niveles jerárquicos más elevados dentro de una organización, de manera que aquellos a quienes reporte tengan capacidad de decisión en calidad de responsables o encargados del tratamiento.

En ningún caso el DPD sustituirá al responsable en la toma de decisiones sobre los fines y alcance de los tratamientos ni deberá asumir la carga de las posibles sanciones en las que pudieran incurrir los responsables como consecuencia de tratamientos de datos no acordes con el RGPD.

Posiblemente el DPD sea el eje principal del principio de responsabilidad activa del RGPD. Es la figura encargada de velar por el derecho de protección de datos en las organizaciones e instituciones. En el sector público velará por la compatibilidad del cumplimiento de las obligaciones de una institución frente al derecho de protección de datos de los interesados y en el entorno privado será la figura encargada de compatibilizar el desarrollo de negocio del responsable frente al derecho de protección de datos de los interesados.

Esta nueva figura es clave para garantizar la confianza de los interesados en los tratamientos y en consecuencia debe significarse como elemento fundamental en la relación con los ciudadanos tanto en las actividades del sector público como del sector privado.

Un perfil multidisciplinar
Desde el punto de vista de la cualificación profesional estamos hablando de un perfil multidisciplinar que no se ajusta a una titulación concreta o a un ámbito académico específico. El DPD requerirá conocimientos jurídicos, técnicos y de negocio para realizar sus funciones, que en muchos casos se articularán entorno a un equipo multidisciplinar. Su papel estará orientado a la coordinación de varios profesionales, mientras que en otros casos, su labor podrá ser la de prestar servicio a varios responsables o encargados.

Las formas en las que se formalizará el desempeño de las funciones del DPD en las organizaciones serán tan variadas como variados pueden ser los tratamientos y las organizaciones, no es posible fijar un modelo único en el que enmarcar las funciones del DPD.

El DPD puede realizar sus funciones con plena dedicación o a tiempo parcialdentro de una misma organización compatibilizando sus funciones con otras que le hayan sido encomendadas por el responsable del tratamiento. En este caso, se prestará especial atención a la posible existencia de conflicto de intereses entre el desempeño de las funciones que pudieran compatibilizarse con el desempeño de su papel como DPD (artículo 38.6 RGPD). Antes de proceder al nombramiento del DPD es conveniente realizar un análisis de los posibles conflictos de intereses que pudieran existir entre las distintas tareas que se espera que realice el posible DPD dentro de una organización. 

Nombramiento y certificación del DPD
Además de los supuestos obligatorios para la designación de un DPO previstos en el artículo 37.1 del RGPD y detallados en el artículo 35 del Anteproyecto de LOPD, los responsables y encargados podrán voluntariamente designar un DPO y potenciar el cumplimiento preventivo de sus obligaciones a través de esta figura.

Es importante tener en cuenta que el artículo 65.4 del citado Anteproyecto prevé la posibilidad de que la Agencia remita las reclamaciones al DPO a los efectos previstos en el artículo 38, con el objeto de impulsar la resolución amistosa en el seno de la entidad a través de esta figura clave.

Los responsables y encargados del tratamiento se ven ante el reto y la necesidad de elegir y nombrar con diligencia sus DPD, valorando el nivel de conocimientola cualificación profesional y su capacidad para el desempeño de tareas y actividades que implica el cumplimiento de las obligaciones del RGPD. Esta evaluación de cualidades puede suponer un grado de incertidumbre para los responsables en aquellos casos en los que no existe un conocimiento previo del profesional. 

El RGPD otorga a los estados miembro, las autoridades de control, al Comité y a la Comisión la posibilidad de crear mecanismos de certificación en protección de datos, aunque no específicamente en el terreno de las cualificaciones profesionales. 

Sin embargo, desde la AEPD entendimos el factor de la certificación del DPD como prioritario, de forma que pueda ser un elemento orientador para los responsables a la hora de elegir al DPD. No se trata de establecer un requisito de obligado cumplimiento. Se trata de elaborar un marco de referencia para los responsables y la exigencia o no del requisito de certificación es una opción para el responsable. En ningún caso la certificación será una limitación para el acceso a la profesión de DPD, existen profesionales cualificados para el desempeño de esta profesión con conocimientos y experiencia demostrados que podrán seguir ejerciendo su labor profesional y en el futuro podrá haber otras vías para que los profesionales puedan demostrar su preparación.

La AEPD ha optado por promover un sistema de certificación de profesionales de protección de datos como una herramienta útil a la hora de evaluar que los candidatos a ocupar el puesto de DPD reúnen las cualificaciones profesionales y los conocimientos requeridos. Este esquema de certificación para DPD de la AEPD se estructura en tres partes distintas: la AEPD como propietaria y responsable del esquema, la entidad de acreditación encargada de los requisitos que deben cumplir los certificadores (ENAC) y finalmente las propias entidades de certificación. Desde la AEPD entendemos que esta división en tres partes con funciones independientes es un factor de calidad para el proceso de certificación. Tres entidades distintas con funciones y responsabilidades independientes que establecen una relación de confianza y mutua responsabilidad.

El esquema de certificación contempla todos los ámbitos de cumplimiento del RGPD, incluyendo aspectos como por ejemplo: 

  • Control del cumplimiento por parte del responsable: se ha realizado un exhaustivo detalle de tareas relacionadas con los principios de los tratamientos teniendo en cuenta aspectos como los principios, las bases jurídicas, el principio de información y los derechos de los interesados.   
  • Enfoque de riesgo: incluyendo aspectos relacionados con las evaluaciones de impacto, el análisis y la gestión del riesgo.
  • Obligaciones del responsable: se ha tenido en cuenta el papel del DPD en la elaboración y mantenimiento del Registro de actividades de tratamiento, sus funciones a la hora de determinar las medidas de seguridad técnicas y organizativas, su implicación en la comunicación de violaciones de seguridad, los factores a tener en cuenta para implantar la protección de datos desde el diseño y por defecto, las funciones de auditoría que deben realizar los responsables, etc.
  • Tratamientos transfronterizos: se ha desarrollado una lista detallada de las acciones en las que el DPD podría estar implicado con el objeto de asegurar la legitimidad de los tratamientos transfronterizos.
  • Códigos de conducta y certificación: el esquema de certificación tiene en cuenta la implicación del DPD en la elaboración de códigos de conducta y certificación que puedan ser asumidos por los responsables y encargados.
  • Cooperación con la autoridad de control: este es otro de los aspectos claves que han sido incluidos en la elaboración de este esquema de certificación, desde la AEPD entendemos que este es uno de los factores a tener en cuenta para ayudar a garantizar el derecho a la protección de datos.
Además de las cuestiones técnicas o jurídicas, el esquema de certificación tiene en cuentaotras cuestiones claves para el desempeño de las funciones del DPD. Algunas de estas funciones están relacionadas con las relaciones que deberá establecer el DPD en el desempeño de su actividad dentro de una organización, actividades relacionadas congarantizar la buena relación del DPD con los equipos y grupos de trabajo en los que estará implicado. Uno de los aspectos más importantes en el desempeño de las funciones del DPD son sus relaciones y capacidades de negociación para atender y balancear los derechos de los interesados frente a los intereses de negocio de los responsables. Estamos hablando de habilidades personales y características menos tangibles que finalmente harán que el desempeño de las funciones del DPD sean útiles a los responsables y que al mismo tiempo impidan que dichas funciones puedan convertirse en un obstáculo al funcionamiento de la organización. 


Desde la AEPD esperamos que este marco de referencia pueda ser de utilidad tanto a los responsables y encargados como a los propios DPD, aportando una relación detallada de tareas y competencias en las que basar sus actividades con relación a los tratamientos.


    jueves, 27 de julio de 2017

    Latinoamérica sigue los pasos de España


    Latinoamérica sigue los pasos de España en protección de datos

    María H. Santos

    Latinoamérica sigue los pasos de España en protección de datos

    • Argentina y México toman como modelo de referencia la legislación española
    • El nuevo Reglamento europeo sirve de guía a la hora de legislar sobre la materia


    La protección de datos es un tema candente en cualquier parte del mundo. El valor de la información que proporcionan dichos datos crece con el tiempo y tanto las empresas como los países lo saben. En Europa nos encontramos en pleno proceso de renovación legislativa gracias al Reglamento General de Protección de Datos (RGPD), que empieza a aplicarse el 25 de mayo de 2018, dos años después de su entrada en vigor.
    En el caso de España, que es uno de los países de referencia en protección de datos en Europa, la influencia sobre los países latinoamericanos es muy pronunciada. Países como Argentina, cuya normativa en la materia es muy parecida a la española, y México, son algunos de los ejemplos de la dirección hacia la que se dirigen en la región.

    En Latinoamérica, la situación es totalmente diferente. Al no existir una regulación común, cada país ha abordado la problemática de una manera distinta. Sin embargo, su intención es intentar que las normas sobre protección de datos sean comunes. Para ello existen organizaciones como la Red Iberoamericana de Protección de Datos (RIPD), donde se realiza el intercambio de buenas prácticas entre los principales actores del sector privado y público, con las principales agencias de protección de datos de los países miembros.
    Precisamente, esta red está marcando las directrices para la futura creación normativa en la región. A finales del mes de junio tuvo lugar en Santiago de Chile el XV Encuentro Iberoamericano de Protección de Datos, cuyas conclusiones se han materializado en una lista de “estándares de Protección de Datos Personales para los Estados Iberoamericanos“, directrices a tener en cuenta a la hora de legislar en la materia en el futuro o para revisar la normativa ya existente.
    El problema es que aún queda mucho camino por recorrer. Paloma Bru, of counselde Jones Day, reconoce la falta de regulación común. Sin embargo, destaca que en materia de protección de datos, los Estados “quieren una normativa compartida, como la europea”. Es precisamente esta última la que sirve como modelo a aquellos países de la región latinoamericana que quieren desarrollar una protección de datos eficiente y moderna.

    El RGPD para todos

    La idea es simple: usar el RGPD europeo como modelo para asegurar el cumplimiento de los estándares de protección de datos en Latinoamérica. Los beneficios para los países que tomen dicho reglamento como base pueden ser muchos. Paloma Bru destaca como principal beneficio que “cumplir el mínimo europeo de protección de datos sirve para atraer inversión”. Sin embargo reconoce que “existe un aspecto negativo, ya que invertir y cumplir con la norma conlleva un gasto grande”, aunque “les beneficiará cuando superen el escollo”.
    El centro de esta cuestión radica en la obligatoriedad que existe para todas las empresas del mundo que cuenten con datos de clientes europeos, de respetar la norma europea aunque no tengan sede en la Unión Europea. Así, un hotel en Punta del Este, Uruguay, que reciba reservas de clientes franceses, por ejemplo, deberá tratar la información personal que estos faciliten con la diligencia pedida por el RGPD. Estamos, por tanto, ante una internacionalización de la protección de datos.
    La decisión de tomar el derecho comunitario como referencia, dice Bru que “se debe a la centralización de las normas”. El hecho de que provengan de una sola autoridad y que sean iguales para todos los países en cualquier ámbito, tanto privado como público, facilita la homogenización. Por el contrario, esta experta de Jones Day explica que “la normativa estadounidense es más sectorial”, razón por la que no se ha constituido como ejemplo pese a compartir región.

    Las deficiencias

    A día de hoy el proceso de creación de un sistema completo y eficiente no ha concluido. Algunos países han tomado la delantera en la materia. Para Paloma Bru, destacan sobre los demás Uruguay, México, Argentina y Chile. Las razones, destaca, son dos. La primera es la antigüedad de la normativa, ya que “estos países cuentan con regulaciones específicas de protección datos desde hace ya años. De hecho algunos, como es el caso de Argentina, están ahora mismo revisando la mismas, tomando como base la nueva normativa europea de protección de datos”. La segunda razón, según Bru, es que “cuentan con autoridades especificas y especializadas en materia de protección de datos, lo que ayuda a la implementación práctica de la normativa existente y a crear cultura de protección de datos”. Por el contrario, a la cola de la implantación se encuentran países como Brasil y Panamá, que “aún discuten las que serán sus primeras normativas en materia de protección de datos”, advierte.
    El camino ha empezado a andarse en la dirección correcta. Sin embargo, hay que prestar especial atención a las deficiencias encontradas hasta ahora para solventarlas antes de que sean un problema. La primera, dice Paloma Bru, es la “desigualdad de niveles normativos” que existe entre los países. Otro problema que destaca es “la falta de autoridad en materia de protección de datos, así como de reguladores independientes”. La buena señal es que se están tomando medidas hacia una regulación compartida o, al menos, común.

    LAS DIRECTRICES DE LA NUEVA REGULACIÓN

    La Red Iberoamericana de Protección de Datos se reunió a finales de junio, encuentro del que surgió el primer documento que sirve como base a las regulaciones y revisiones futuras de la normativa de protección de datos: los “Estándares de Protección de Datos Personales para los Estados Iberoamericanos”.
    -Derecho Fundamental. El documento abre con una declaración de intenciones al destacar que la protección de datos de las personas físicas es un derecho fundamental y, por tanto, merece el máximo rango de protección.
    -Falta de normas. Uno de los problemas que reconocen es que muchos países no tienen ni siquiera normativa en la materia, lo que supone un gran peligro para los usuarios.
    -Contenido. Al tratarse de unas recomendaciones, no es obligatorio. Sin embargo, su objetivo es que sobre ellas se construyan regulaciones con elementos comunes, como las definiciones o los requisitos mínimos de protección.
    -Aplicación. Según el documento, los estándares “serán aplicables a los datos personales de personas físicas”. Sin embargo, cada país podrá hacer extensible estas directrices también a las personas jurídicas.


    domingo, 23 de julio de 2017

    Deudor moroso


    Fijate si sos deudor moroso y cómo solucionarlo

    El Banco Central y empresas privadas registran la información financiera, pero puede haber errores que impiden gestionar un crédito o abrir una cuenta. 


    Cualquier operación financiera, desde un crédito hipotecario hasta la apertura de una cuenta bancaria, pasa por un filtro informativo. El Banco Central y el Veraz tienen información sobre la actividad crediticia y comercial de cada uno. Aunque no siempre suele estar actualizada y puede contener errores. Son errores que, al gestionar un préstamo, pueden costar caro.
    La Central de Deudores del Banco Central permite acceder a los datos financieros de cualquier persona con el número de CUIT. La semana pasada inauguró una nueva plataforma web, usuariosfinancieros.gob.ar, que simplifica el acceso a esa información.
    ¿Qué datos muestra el BCRA? Básicamente, la deuda de cada contribuyente, sean préstamos o tarjetas de crédito, y si tiene cheques rechazados.
    Es información que los bancos entregan a la autoridad monetaria. Y que permite "calificar" a los deudores de 1 a 6.
    Un deudor categoría 1 es aquel en "situación normal": tiene sus pagos al día. El 6 es el "irrecuperable". Cada banco informa el estado de cuenta. Con esos datos, las entidades financieras deciden si otorgarán tarjetas, créditos o hasta apertura de cuentas a un contribuyente.

    ¿Qué sucede si esa información es errónea? El cliente bancario debe, primero, pedir al banco en cuestión que la rectifique. De no tener éxito, puede hacer un reclamo ante el Banco Central.
    Cómo solucionarlo con el Central
    El BCRA permite completar un formulario de acceso, rectificación o supresión de datos personales. Exige haber hecho el reclamo previo ante el banco. A la petición, que se puede completar online, se deben adjuntar copias escaneadas del anverso y el reverso del DNI, copia escaneada de la respuesta que brindó la entidad en cuestión al hacer el reclamo y copias de la documentación que permita respaldar la denuncia (resúmenes de tarjeta, libre deuda, etcétera).
    Antes de avanzar con el reclamo, es útil saber que existe cierta demora en la actualización de los datos. Los bancos, fideicomisos financieros y emisores de tarjetas de crédito deben ingresar los datos antes del día 20 del mes siguiente al periodo informado. Es decir, si cancelás una deuda hoy, esa información se procesará dentro de un mes.
    Cómo solucionarlo con los privados
    Con el Veraz y las otras empresas privadas de información comercial y financiera, el trámite es algo más complejo. La ley de Hábeas Data faculta a cada persona a pedir de manera gratuita los datos que estas firmas tienen sobre ella.
    Estas compañías se manejan con información más o menos pública: la del Banco Central, la información de sociedades que surge del Boletín Oficial, fallos judiciales (como inhibiciones), etcétera. Por lo tanto, no suelen hacerse cargo de los errores de información.
    Pero, a veces, manejan información desactualizada. O informan sobre deudas ya resueltas.
    Si la deuda informada es errónea, la persona puede pedir que esa información sea rectificada en un plazo de cinco días. Es un trámite rápido y sencillo. Cualquier comprobante de pago (un resumen de cuenta de tarjeta de crédito, por ejemplo) sirve.
    Si la deuda existió pero se regularizó, las empresas de información pueden mantener publicado ese antecedente por un plazo de dos años, pero debe estar aclarado que el conflicto fue resuelto.
    En el caso de no pagar la deuda, la persona figurará como deudor moroso durante un plazo de cinco años. Luego de ese plazo, las empresas de información deben removerlo del listado, aunque la deuda no se extinguirá.
    Conocé acá qué sabe de una persona el Banco Central.

    domingo, 25 de junio de 2017

    Anteproyecto de ley en España


    El Gobierno impulsa el anteproyecto de ley de protección de datos para adaptarse al reglamento ...



    El Gobierno impulsa el anteproyecto de ley de protección de datos para adaptarse al reglamento europeo

    MADRID, 23 Jun. (EUROPA PRESS) - El Consejo de Ministros, a propuesta del ministro de Justicia, Rafael Catalá, ha impulsado el anteproyecto de Ley Orgánica de Protección de Datos con el fin de mejorar la regulación de este derecho fundamental en los datos de carácter personal y adaptar la legislación española a las disposiciones contenidas en el Reglamento UE 2016/679 del Parlamento Europeo cuya entrada en vigor está prevista para el próximo 25 de mayo de 2018. 

    jueves, 11 de mayo de 2017

    H. D. contra ART


    Hacen lugar a un hábeas data contra cobertura de ART
    El Cordillerano





    El fallo indica que la presentación deberá ser realizada en el plazo de cinco días de su notificación, bajo apercibimiento de aplicar una multa diaria en concepto de astreintes por cada día de retraso desde el vencimiento del plazo otorgado.
    La presentación se efectuó toda vez que la ART no entregó la historia clínica y otra documentación del trabajador, no obstante haber sido solicitada la misma, en virtud del agravamiento de su estado de salud y conforme lo dictaminado por la Comisión Médica.
    En la sentencia, el Tribunal integrado por los jueces Jorge Serra, Alejandra Paolino y Rubén Marigo, recordó que "El habeas data tiene cinco objetivos principales: a) que una persona pueda acceder a la información que sobre ella conste en un registro o banco de datos; b) que se actualicen datos atrasados; c) que se rectifiquen los datos inexactos; d) que se asegure la confidencialidad de cierta información legalmente obtenida para evitar su conocimiento por terceros; y e) la supresión del registro de la llamada ‘información sensible’ -vida íntima, ideas políticas, religiosas o gremiales”.
    De este modo, la inteligencia que debe guiar la interpretación de la cláusula examinada es aquella que logre asegurar en la práctica el efectivo y eficaz acceso a la información sobre él registrada por parte del titular de los datos (art. 14, Inc. 1, Ley 25.326).
    En estas actuaciones el trabajador peticionante consignó que habiendo recibido tratamiento insuficiente y/o deficiente por las secuelas de un accidente laboral fue dado de alta por la ART. Pero ante el agravamiento de su cuadro requirió nuevo tratamiento y en consecuencia requirió su historia clínica para poder presentar al médico tratante. Ante la negativa de la ART de entregar la documentación requerida es que acudió a la figura del habeas data.
    La sentencia señala que uno de los objetivos de la ART es reparar los daños derivados de los accidentes de trabajo, incluyendo su rehabilitación. La reparación a que se refiere la normativa no sólo se limita a las prestaciones dinerarias sino también a las reparaciones en especie. En este sentido se destacó que “El trabajador debe contar con todos los elementos y evaluaciones médicas referidas a su estado de salud para en su caso reclamar las prestaciones que estime pertinentes, aún las en especie”.
    Cabe señalar que en estas actuaciones, “el silencio de la demandada ante los requerimientos extrajudiciales realizados por el trabajador y aún con la ausencia de contestación del pedido de informes formulado por este Tribunal, violenta los objetivos y finalidades referidos en el párrafo anterior, y en consecuencia corresponde aplicar al acto de autos lo normado en la Ley 26.529 - Derechos del Paciente en su Relación con los Profesionales e Instituciones de Salud”. (Fuente: Prensa Poder Judicial)

    jueves, 4 de mayo de 2017

    Los cambios que vienen


    Cinco cambios de alta prioridad en las organizaciones para cumplir con el GDPR
    Silicon ES

     1 5 No hay comentarios
    El nuevo reglamento se aplicará no solo a las empresas de la UE, sino también a todas las organizaciones fuera de la UE que tratan datos personales para la oferta de bienes y servicios a la UE o supervisan el comportamiento de los sujetos comunitarios.
    Gartner afirma que las organizaciones no están preparadas para el Reglamento Europeo de Protección de Datos(GDPR), que entrará en vigor el 25 de mayo de 2018.
    El GDPR sustituye a la Directiva 95/46 / CE relativa a la protección de datos y está concebido para apoyar el mercado único, armonizar las leyes de privacidad de datos en toda Europa, proteger y potenciar la privacidad de los datos de los ciudadanos de la UE y reformar la forma en que las organizaciones abordan la privacidad de los datos para los ciudadanos comunitarios dondequiera que trabajen en el mundo.
    “El GDPR afectará no solo a las organizaciones de la UE, sino también a muchos controladores de datos y procesadores fuera de la UE. Existe la amenaza de multas fuertes y los responsables de la toma de decisiones deben reevaluar las medidas para procesar con seguridad los datos personales”, ha afirmado Bart Willemsen, director de investigación de Gartner.
    La firma consultora recomienda que las organizaciones actúen ahora para asegurarse de que están en conformidad cuando la regulación entre en vigor y para ello deben centrarse en cinco cambios de alta prioridad.
    Es crucial determinar el papel bajo el GDPR y nombrar un oficial de protección de datos. Muchas organizaciones estarán obligadas a designar un oficial de protección de datos (DPO). Esto es especialmente importante cuando la entidad es un organismo público, está procesando operaciones que requieren monitorización regular y sistemática o tiene actividades de procesamiento a gran escala.
    Además, hay que demostrar responsabilidad en todas las actividades de procesamiento, ya que muy pocas organizaciones han identificado cada uno de los procesos en los que están involucrados los datos personales. En el futuro, la limitación del propósito, la calidad de los datos y la relevancia de los datos deben decidirse al iniciar una nueva actividad de procesamiento, ya que esto ayudará a mantener el cumplimiento en futuras actividades de procesamiento de datos personales.
    Finalmente, se deben comprobar los flujos de datos transfronterizos. Se permitirá la transferencia de datos a cualquiera de los 28 Estados miembros de la UE, así como a Noruega, Liechtenstein e Islandia. Las transferencias a cualquiera de los otros 11 países de la Comisión Europea (CE), que se considere que tiene un nivel de protección “adecuado”, también serán posibles. Fuera de estas áreas se deben utilizar salvaguardias apropiadas, tales como las Reglas Corporativas Vinculadas (BCR) y las cláusulas contractuales estándar (es decir, los “Contratos Modelo” de la UE). Fuera de la UE, las organizaciones que procesan datos personales de residentes de la UE deben seleccionar el mecanismo apropiado para garantizar el cumplimiento del GDPR.

    miércoles, 3 de mayo de 2017

    Me Veraz Indemnizar


    Por: Diario Judicial

    La empresa Telefónica deberá abonarle a una clienta más de 20 mil pesos por haberla calificado erróneamente como deudora morosa del sistema financiero Veraz. Así lo confirmó la Cámara Civil en los autos P. M. A. c/ Telefónica de Argentina Sociedad Anónima y otro s/ daños y perjuicio”.
    La mujer relató que en 2011 dio de baja una línea telefónica, meses más tarde un banco le informó que no podía acceder a ningún producto ni ser clienta debido a que la empresa Telefónica le había hecho una denuncia sobre su persona, calificándola como morosa en el Veraz.
    Tras varios reclamos, la empresa decidió que “todo había sido parte de un error” y puso a disposición mediante órdenes de créditos los montos abonados por la mujer a partir de una deuda que nunca existió.
    El juez de grado admitió parcialmente la demanda y condenó a Telefónica de Argentina S.A. a abonarle la suma de $ 20.222 con más sus intereses y costas. Asimismo, rechazó la demanda dirigida contra Organización Veraz Sociedad Anónima Comercial de Mandatos e Informes (Veraz).
    El Tribunal de Alzada destacó el “actuar imprudente” de la empresa de telefonía al haber “calificado erróneamente a la actora como deudora morosa del sistema financiero Veraz S.A. a raíz de una deuda inexistente”.
    Los vocales destacaron que la demandada, “pese a tener conocimiento de los hechos, no se preocupó en adoptar los mínimos recaudos para eliminar el nombre de la actora de los registros de la autoridad de aplicación”.
    “Era la recurrente quien debía tomar todas las precauciones del caso previo a calificar a uno de sus clientes como moroso, incumplidor o para calificarlo -como ocurre en el caso- como ´deudor irrecuperable´, no sin antes haberlo intimado a que regularice su situación crediticia”, sostuvo el fallo
    Así, los jueces consideraron que “de haber tomado una actitud más diligente, adoptando un mínimo de recaudos para verificar los extremos que le fueron puesto en conocimiento, por cuanto estaba en mejores condiciones de corroborar la legitimidad de la deuda que hace a la especialidad de su actividad, habría evitado los perjuicios innecesariamente generados a causa de su omisión”.
    Finalmente, los vocales mencionaron que “en el ámbito de la economía de mercado las personas son sometidas a un minucioso escrutinio externo acerca de su solvencia, capacidad de pago y cumplimiento de las obligaciones, ello a través de distintas agencias y entidades que tienen como cometido reunir datos y brindar información al respecto”, por lo que concluyeron que “la difusión de estos datos requiere una conducta diligente y cuidadosa”.

    jueves, 20 de abril de 2017

    Datos en Iberoamérica


    Hacia la gestión efectiva de los datos en Iberoamérica en la era de la innovación

    • En el trabajo, realizado desde el Observatorio Iberoamericano de Protección de datos, han intervenido 77 profesionales
    Ha sido presentada en Buenos Aires (Argentina) la obra “Hacia una efectiva protección de los datos en IberoaméricaDeclaraciones de la iniciativa del Observatorio Iberoamericano de Protección de Datos”, elaborada desde el Observatorio Iberoamericano de Protección de Datos y publicada por la Defensoría del Pueblo de la Cuidad Autónoma de Buenos Aires.
    La obra presentada recoge las diferentes Declaraciones elaboradas en el seno de la iniciativa del Observatorio, tanto por los propios colaboradores de la iniciativa como por profesionales, ciudadanos e Instituciones que cooperan en su redacción, en aras a una mayor concienciación de la importancia de aplicar criterios normativos en materia de privacidad, protección de datos y habeas data, así como la unificación de los mismos en los países iberoamericanos.
    Para Daniel López Carballo, Director de la iniciativa del Observatorio y Socio del Área de Privacidad y Protección de Datos de ECIJA, “el ámbito normativo debe completarse con el establecimiento de mecanismos e instrumentos que hagan efectiva dicha protección, el análisis del impacto de las nuevas tecnologías y modelos de negocio, una concienciación clara de los ciudadanos estableciendo sistemas educativos en base a una mayor protección y conocimiento de sus propios datos y la generación de cultura de privacidad en el seno de las empresas, donde los datos se han consolidado como la moneda de la economía digital y su protección como valor diferenciador generador de confianza. En este sentido nacen las Declaraciones de la iniciativa, como compromiso claro de todas las partes que intervienen en el tratamiento de los datos de carácter personal”.
    No debemos olvidar, como indica Eduardo Peduto, Director del Centro de Protección de Datos Personales de la Defensoría del Pueblo de la Ciudad Autónoma de Buenos Aires, que “cuando protegemos datos protegemos personas. Esta es la esencia de nuestra acción tanto en la divulgación, capacitación, investigación o cuando receptamos denuncias sobre la vulneración de datos personales. Hacer hincapié, nunca suficiente nunca vasto, que cuando nos abocamos a la protección de datos personales estamos protegiendo personas. Estamos protegiendo su intimidad, su privacidad, su dignidad. Su ciudadanía, entendida ésta en el sentido amplio en que hoy es reconocida por el desarrollo de las ciencias sociales. En definitiva, estamos protegiendo su mayor atributo: su condición de ser humano”.
    Las diferentes Declaraciones presentadas en Lima (Perú), Barranquilla (Colombia), Buenos Aires y La Plata (Argentina), Santiago de Chile (Chile), Riobamba (Ecuador), Ciudad de Panamá (Panamá), México D.F. (México) y San José (Costa Rica), abordan diferentes aspectos relacionados con el tratamiento de los datos personales, tales como la necesidad de abordar una unificación de criterios normativos en Iberoamérica, educación, protección de los menores, la necesidad de adoptar instrumentos para la protección efectiva, seguridad y protección de los datos en Internet, criterios y medidas de seguridad, la protección de la identidad digital y el derecho al olvido, la implementación de garantías en tratamientos big data y la implantación de un Sello para el tratamiento de los datos personales en Iberoamérica.
    Conforme apunta Mauricio Garro, Ex-Director Nacional de la Agencia de Protección de Datos de los Habitantes, Ministerio de Justicia y Paz de la República de Costa Rica, “en la ponderación de los sistemas de Protección de Datos, se observa una clara tendencia, de armonizar las diferentes normativas. Ello, necesariamente implica, un cambio de paradigma en nuestra concepción de la Privacidad, dada la corriente que alimenta una mayor libertad en la transferencia de información, virtud tanto de las necesidades de seguridad estatal, como de la propia iniciativa de las nuevas generaciones en su diaria comunicación, aspectos que sin duda elevan el valor de la obra presentada”.
    Para Sara Molina Pérez-Tomé, una de las colaboradoras de la obra y CEO de Marketingnize, “tenemos que entender que la sociedad evoluciona de una manera vertiginosa hacia sistemas de exigencia y garantía mayores, por lo que hoy en día las empresas y otras personas jurídicas deben pensar en un modelo de gestión diferente. Uno de los principales problemas en la sociedad de la digitalización, del IOT, del big data… es la falta de confianza en los productos y servicios tecnológicos. La satisfacción del cliente y la generación de su confianza es uno de los principales indicadores estratégicos de la calidad de un servicio en base a la relación entre percepciones y expectativas esperadas acerca de su privacidad y el tratamiento que se dará a sus datos personales”.
    El resultado del trabajo realizado desde la iniciativa del Observatorio Iberoamericano de Protección de datos, es una Obra de constante actualidad, en cuya elaboración han intervenido 77 profesionales de reconocido prestigio, de diferentes nacionalidades (Argentina, Bolivia, Chile, Colombia, Costa Rica, Cuba, Ecuador, España, Guatemala, México, Panamá, Perú, Portugal, República Dominicana  y Uruguay), y que en sí misma es una evidencia de la cooperación internacional y la relevancia de los temas abordados en la misma, en un momento en que internet y el impacto de las nuevas tecnologías han cambiado la forma en que nos relacionamos, desarrollamos nuestra actividad profesional en una sociedad cada vez más global.
    La obra ha sido elaborada desde la iniciativa del Observatorio Iberoamericano de Protección de Datos, iniciativa cuya principal finalidad es extender la cultura de la privacidad y protección de datos en los distintos países, favoreciendo el conocimiento de la legislación y jurisprudencia existente al respecto, los derechos y las acciones que les asisten a sus ciudadanos, tratando de promover un clima de seguridad jurídica en el tratamiento de los datos de carácter personal que contribuya al desarrollo de las ciencias jurídicas en Iberoamérica.
    Los contenidos del Observatorio son fruto del aprendizaje y la práctica diaria de los juristas, abogados, catedráticos, jueces y fiscales que participan en esta iniciativa colaborativa remitiendo desinteresadamente sus artículos y participando en sus diferentes Declaraciones y eventos organizados en el seno de la iniciativa, con la intención de lograr un mayor conocimiento de esta rama del derecho, tan fundamental y en ocasiones desconocida, no sólo en la comunidad jurídica internacional, si no entre la propia ciudadanía.
    La iniciativa nace en enero de 2013 como un foro de encuentro, donde poder compartir experiencias e ideas en el ámbito jurídico y operacional de la privacidad y la protección de datos, sobre las diferentes normativas iberoamericanas y su aplicación. Actualmente la iniciativa cuenta con más de 130 colaboradores de 22 nacionalidades, teniendo presencia en la totalidad de países de Iberoamérica.
    Puede accederse, de manera gratuita, a la Obra “Hacia una efectiva protección de los datos en Iberoamérica. Declaraciones de la iniciativa del Observatorio Iberoamericano de Protección de Datos” a través de la Biblioteca on-line de la Defensoría del Pueblo de la Cuidad Autónoma de Buenos Aires en el siguiente enlace.
    Hacia la gestión efectiva de los datos en Iberoamérica en la era de la innovación