Entradas

La futura Ley de Protección de Datos

La futura Ley de Protección de Datos

La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española. Desde entonces, y en particular con la Sentencia 290/2.000 del Tribunal Constitucional, que viene a reconocer a la protección de datos como derecho fundamental autónomo, ha ido desarrollándose una legislación que cada vez más se centra en la protección de los datos de los ciudadanos.

El último hito ha sido la adopción del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por la que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), así como de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

Cada Estado miembro debe adaptar la normativa europea a su ordenamiento interno, si bien debemos recordar que, al tratarse de un Reglamento, y no de una Directiva, de la que dimana la actual LOPD, es directamente aplicable.

El Anteproyecto de Ley que debe dar lugar al nuevo marco que reforme la LOPD actual

En España, en concreto, se ha publicado recientemente el Anteproyecto de Ley que debe dar lugar al nuevo marco que reforme la LOPD actual.

El Anteproyecto, al que aún le queda un largo camino hasta su texto definitivo,  no pretende reiterar el texto del Reglamento Europeo de Protección de Datos para que sea asumido como integrante del Derecho interno, sino que trata de clarificar sus disposiciones, dentro de los márgenes que el mismo establece, teniendo en cuenta asimismo la propia tradición jurídica derivada de una regulación de más de veinticinco años de vigencia y de una abundante doctrina judicial generada a lo largo de ese período, tanto en el ámbito interno como en el de la Unión Europea.

En principio consta de setenta y ocho artículos estructurados en ocho títulos, diez disposiciones adicionales, cinco disposiciones transitorias, una disposición derogatoria única y siete disposiciones finales.

El Título I, relativo a las disposiciones generales, contiene la novedosa regulación de los datos referidos a las personas fallecidas, permitiendo a los herederos solicitar el acceso a los mismos, así como su rectificación o supresión y  se podrán incorporar a un registro.

En el Título II, “Principios de protección de datos”, se presumen exactos y actualizados los datos obtenidos directamente del propio afectado y se recoge expresamente el deber de confidencialidad, se regulan garantías específicas y se aplica el principio de minimización de datos para quien carezca de competencia.

El Título III, dedicado a los derechos de las personas, adapta al Derecho español el principio de transparencia en el tratamiento del reglamento europeo, que regula el derecho de los afectados a ser informados acerca del tratamiento, se recoge la denominada “información por capas” ya generalmente aceptada en ámbitos como el de la videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales como las “cookies”).

El Título IV  se refiere al responsable y al encargado del tratamiento. Es preciso tener en cuenta que la mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa.

La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge el anteproyecto, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica.

El Título V, relativo a las transferencias internacionales de datos, procede a la adaptación de lo previsto en el Reglamento (UE) 2016/679 y se refiere a las especialidades relacionadas con los procedimientos a través de los cuales las autoridades de protección de datos pueden aprobar modelos contractuales o normas corporativas vinculantes, supuestos de autorización de una determinada transferencia, o información previa.

El Título VI se dedica a las autoridades de protección de datos, que siguiendo el mandato del Reglamento (UE) 2016/679 se ha de establecer por ley nacional. Manteniendo el esquema que se venía recogiendo en sus antecedentes normativos, el anteproyecto regula el régimen de la Agencia Española de Protección de Datos y refleja la existencia de las autoridades autonómicas de protección de datos y la necesaria cooperación entre las autoridades de control. La Agencia Española de Protección de Datos se configura como una autoridad administrativa independiente con arreglo a la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que se relaciona con el Gobierno a través del Ministerio de Justicia.

El Título VII regula el “Procedimiento en caso de reclamaciones tramitadas por la Agencia Española de Protección de Datos”. El Reglamento (UE) 2016/679 establece un sistema novedoso y complejo, evolucionando hacia un modelo de “ventanilla única” en el que existe una autoridad de control principal y otras autoridades interesadas.

El Título VIII, que contempla el régimen sancionador, parte de que el Reglamento (UE) 2016/679 establece un sistema de sanciones o actuaciones correctivas sumamente genérico, en el que no se tipifican las conductas ni se establecen las reacciones concretas ante su comisión.

La futura Ley de Protección de Datos

Por su parte, las Disposiciones Adicionales se refieren a cuestiones como las medidas de seguridad en el ámbito del sector público, protección de datos y transparencia y acceso a la información pública, cómputo de plazos o autorización judicial en materia de transferencias internacionales de datos, entre otros. Las disposiciones transitorias están dedicadas al estatuto de la Agencia Española de Protección de Datos, el régimen transitorio de los procedimientos o los tratamientos sometidos a la Directiva (UE) 2016/680.

Se recoge únicamente una Disposición Derogatoria y, a continuación, figuran las disposiciones finales sobre los preceptos con carácter de ley ordinaria, el título competencial,  las modificaciones necesarias de la legislación sectorial y la entrada en vigor.

Resumiendo, podemos destacar como principales novedades que del Reglamento acoge, como no puede ser de otra forma, el anteproyecto: la creación de la figura del delegado de Protección de Datos, aclarando e interpretando lo que la norma europea recoge, la cooperación internacional, la extensión de la importancia de la protección de datos y su aplicación legislativa y sancionadora, y el derecho de los fallecidos, coincidiendo con las reclamaciones sociales sobre la protección de sus datos, al verse afectadas ante la sobre abundancia de información, la redes sociales y los nuevos dispositivos.

Noticia original cedida por Equal Protección de datos https://equalprotecciondedatos.com/la-futura-ley-de-proteccion-de-datos/

Las filtraciones y nuestros datos - Actualidad en Protección de datos

Las filtraciones y nuestros datos

La protección de datos en Estados Unidos es asunto de estado, y filtrar documentos oficiales te llevan a la cárcel, éste es el caso de una chica de 25 años que trabajaba en la Fuerza Aérea en Georgia, R. L. Winner, que ha sido identificada gracias al rastro que se queda en las impresoras.

La fecha, la hora y el documento que se imprimió, fue reduciendo los sospechosos hasta descubrir a la autora, que fue detenida.

Para ello, la NSA, agencia americana de seguridad, usó los “Tracking Dots”, una serie de puntos que se pueden descubrir, si uno hace una ligera búsqueda en el documento filtrado, según informa el Washington Post.

Este caso de filtración de datos se une a la larga lista de filtraciones de la era digital, que tiene como punto álgido el caso Wikileaks, el 25 de julio de 2010, cuando los periódicos The Guardian, The New York Times y Der Spiegel hicieron públicos un conjunto de unos 92.000 documentos sobre la Guerra de Afganistán entre los años 2004 y 2009.

En marzo de 2017, el portal Wikileaks aseguró haber obtenido los detalles de un programa de hackeo de teléfonos, ordenadores y televisores por parte del espionaje de Estados Unidos, y comenzó a filtrar miles de documentos relacionados atribuidos a la CIA.

Incluyendo el programa llamado «Año Cero», que estaba preparado con una serie de armas informáticas para conseguir hackear teléfonos móviles y dispositivos producidos por compañías norteamericanas, como los iPhone de Apple, el sistema Android de Google, el Windows de Microsoft o los televisores Samsung con conexión a Internet, que se convertían en micrófonos encubiertos a través de los cuales se podría espiar a cualquier usuario.

Últimamente, según informa El Confidencial, prueba que hay mucho desconocimiento sobre el tema, se ha creado una alarma entre las empresas que han recibido un email del Ministerio de Energía, Turismo y Agenda Digital del Gobierno, que ha mandado un email informativo a más de 20 mil empresas, para informar sobre la Ley 34/2002, de 11 de julio, Ley de Servicios de la Sociedad de la Información y de comercio electrónico (LSSI), que decía como forma publicitaria, muy poco acertada: «Se ha observado que su página web no cumple con alguna de estas obligaciones».

Incluso, la Administración, por error puede incumplir la Ley de Protección de Datos, como ocurrió la semana pasada cuando un empresario entró en la web de la Fábrica Nacional de Moneda y Timbre (FNMT) para solicitar el certificado digital de representante, un documento que le permite hacer trámites burocráticos ‘online’ en nombre de su empresa, de la que es administrador solidario.

Según Teknautas, lo que ocurrió después fue una de las mayores “chapuzas” digitales realizadas recientemente por un organismo público, ya que tras pagar los 24 euros que cuesta dicho certificado y obtenerlo, recibió un correo de la sede electrónica de la FNMT, dependiente del Ministerio de Hacienda y Administraciones Públicas, con la correspondiente factura. Sin embargo, había algo raro: el archivo PDF pesaba 10 megas y tenía nada menos que 1.101 páginas, las facturas de las otras 1.100 empresas españolas que habían gestionado un certificado idéntico o similar, ese día.

Desde EQUAL debemos insistir en que es preciso extremar las precauciones en materia de protección de datos, así como facilitar una formación clara y continua a los empleados, ya que debemos recordar que, aunque no haya intencionalidad en las acciones que se llevan a cabo, un mero error puede conllevar una vulneración de la LOPD que podría dar lugar a una fuerte sanción.

 

Publicación original compartida desde Equal Protección de Datos 

Enlaces en internet y contenidos protegidos

Enlaces en internet y contenidos protegidos

Enlaces en internet y contenidos protegidos. La puesta a disposición del gran público de enlaces que dirigen a descargas de contenidos protegidos siempre ha presentado una gran fuente de debate social entre ambas partes. En esta sociedad de la información, el número de este tipo de páginas aumenta con el tiempo, por lo que esta cuestión siempre tiene alguna que otra actualización.

En este sentido, el Tribunal de Justicia de la Unión Europea, publicó una sentencia sobre las circunstancias de inclusión en sitio de internet de enlaces a otros sitios que contienen contenidos protegidos y publicadas sin autorización de su autor, los conocidos como “contenidos pirata”, que deben de ser consideradas como actuaciones ilícitas que vulneran derechos de autor.

Mediante esta sentencia del 8 de septiembre de 2016 el Tribunal fija que el establecimiento de un hipervínculo en un sitio de Internet el cual remita a obras protegidas por derechos de autor y publicadas sin la autorización del autor en otro sitio de Internet no constituye una «comunicación al público» siempre que  la persona que coloca tal vínculo actúe sin ánimo de lucro y sin conocer la ilegalidad de la publicación de esas obras.

Sin embargo, si tales hipervínculos son proporcionados con ánimo de lucro, se presume que se conoce el carácter ilegal de la publicación en el otro sitio de Internet

Esta cuestión enfrentaba en los tribunales holandeses, a la editora de la revista Playboy, titular de derechos exclusivos sobre unas fotografías, y la empresa titular de una página web sensacionalista, la cual incluyó un enlace a un acceso libre a unas fotografías que la revista pretendía publicar.

Es por ello, que la editora de la revista instó a la titular de la página a retirar el enlace a estas fotos, titular que siguió incluyendo sucesivos artículos en los que enlazaba a diversos sitios en internet donde se encontraba disponible ese mismo contenido protegido.

Por ello, el Tribunal Supremo Holandés, preguntó al TJUE sobre si el hecho de colocar en un sitio de Internet un hipervínculo que remite a obras protegidas, disponibles libremente en otro sitio de Internet sin la autorización del titular de los derechos de autor, constituye una «comunicación al público» por lo que puede reputarse como conducta que vulnere los derechos de autor protegidos.

En este sentido el Tribunal subraya que Internet reviste particular importancia para la libertad de expresión y de información de sus usuarios y que los hipervínculos contribuyen a su buen funcionamiento y al intercambio de opiniones y de información.

Por ello el Tribunal admite que puede resultar difícil, especialmente para los particulares que deseen colocar tales vínculos, comprobar si se trata de obras que están protegidas y, en su caso, si los titulares de los derechos de autor de dichas obras han autorizado su publicación en Internet.

El Tribunal de Justicia recuerda que el concepto de «comunicación al público» exige una apreciación individualizada que debe tener en cuenta varios criterios complementarios, como el carácter deliberado de la acción (el usuario lleva a cabo un acto de comunicación cuando interviene, con pleno conocimiento de las consecuencias de su comportamiento, para dar a sus clientes acceso a una obra protegida); en segundo lugar, el concepto de «público», que se refiere a un número indeterminado de destinatarios potenciales e implica, por lo demás, un número considerable de personas y, en tercer lugar, el carácter lucrativo de esa comunicación al público.

Es por esto, que para que el Tribunal considere esta «comunicación al público», cuando la colocación del hipervínculo que remite a una obra disponible libremente en otro sitio de Internet la realiza una persona sin ánimo de lucro, debe tenerse en cuenta la circunstancia de que esta persona no sepa, y no pueda saber razonablemente, que dicha obra había sido publicada en Internet sin la autorización del titular de los derechos de autor.

En cambio, si se hubiera acreditado que tal persona sabía o debía saber que el hipervínculo que ha colocado da acceso a una obra publicada ilegalmente (por ejemplo al haber sido advertida de ello por los titulares de los derechos de autor), el suministro de dicho vínculo constituye una «comunicación al público».

Y lo mismo sucede si tal vínculo permite a los usuarios eludir las medidas restrictivas adoptadas por el sitio donde se encuentra la obra protegida para limitar su acceso a la misma a sus abonados.

Por ello, siempre que esta presunción iuris tantum no sea enervada, el acto consistente en colocar un hipervínculo que remita a una obra publicada ilegalmente en Internet constituye una «comunicación al público» en el sentido del artículo 3, apartado 1, de la Directiva 2001/29.

Enlaces en internet y contenidos protegidos

Enlaces en internet y contenidos protegidos

Nuevo Reglamento Protección de datos

Nuevo Reglamento Protección de datos, novedades de la Agencia. Ayer, día 29 de Mayo de 2016, tuvo lugar la 8 reunión anual de la Agencia Española de Protección de datos, siendo el Nuevo Reglamento Europeo, sin duda la piedra sobre la que giró todo el evento.

Primero hay que recordar la eficacia de este Reglamento Europeo, que entró en vigor el 25 de mayo de este año, pero que no comenzará a aplicarse hasta el mismo día de 2018. Al tratarse de una norma europea con nivel reglamentario, no requiere de transposición en la normativa interna del estado para que sea aplicable y eficaz. Sin embargo, esta norma va a requerir la adaptación de la normativa nacional que no recoja todos los supuestos expuestos ahora a nivel europeo.

Por esto, se abre ahora un plazo de dos años en los que la propia Agencia ha avisado, que será importante adaptar todos los ficheros, medidas y documentos para que se cumplan poco a poco con las medidas expresadas, para que una vez en mayo de 2018 cuando entre en vigor, todos estos extremos estén controlados y actualizados.

Si algo se dejó en claro en dicha reunión, es que el reglamento aunque sea de aplicación en el 2018, se ha de ir aplicando poco a poco en las empresas, responsables y encargados del tratamiento para ir adaptándolas a una nueva realidad.

Dentro de los principales puntos que van a requerir una actualización antes de la entrada total en vigor de este reglamento, podemos encontrar:

  1. Consentimiento

El consentimiento tácito, que siempre ha sido el consentimiento por defecto, ha sido totalmente “derogado” en el nuevo reglamento. La nueva norma introduce que para prestar consentimiento, se va a requerir una manifestación inequívoca y una clara acción afirmativa. Esta acción afirmativa va a invalidar fórmulas habituales que no daban opción a la acción a las personas, obligando a prestar un consentimiento claro, con una declaración independiente y que sea inequívoco. Un ejemplo de estas prácticas son las casillas premarcadas que perderán toda eficacia una vez entre en juego el Reglamento.

Por ello la Agencia esta aconsejando que las organizaciones que usen el consentimiento tácito como base para sus tratamientos comiencen a revisar los consentimientos antiguos, como a proceder a utilizar mecanismos acordes con la nueva legislación.

  1. Información

La información ofrecida por las empresas también va a sufrir cambios con el nuevo Reglamento. Esta información PREVIA al tratamiento de datos va a poder ser aportada por las empresas sin ningún coste excesivo, utilizando para ello sus páginas web o aprovechando los canales de comunicación habituales que mantengan con sus clientes.

Igualmente, numerosas empresas deberán de adaptar sus políticas informativas a los nuevos requisitos del Reglamento. Sin embargo este extremo deberá ser desarrollado por la Agencia, ya que aún hay muchos asuntos que ha de ser concretados y definidos por la autoridad española.

  1. Evaluaciones de impacto sobre la protección de datos

Otro de los nuevos puntos expuestos en el reglamento, y con mucha importancia en la reunión, son las evaluaciones de impacto. Estas Evaluaciones de Impacto sobre la protección de datos, van a ser obligatorias en determinados tratamientos de datos, van a tener carácter previo y tendrán como objetivo minimizar los riesgos que un tratamiento de datos plantea para los ciudadanos. La obligatoriedad para realizar estas evaluaciones, será para aquellos tratamientos con un alto riesgo para los interesados, tales como:

Evaluación sistemática y exhaustiva de datos de la personalidad de una persona física o analizar sus circunstancias personales o destinada a analizar o a predecir, en particular, su situación

Tratamiento a gran escala de información de datos sensibles para decisiones automatizadas.

Seguimiento de zonas de acceso público.

Tratamiento de datos a gran escala relativos a niños, o de datos genéticos o biométricos.

  1. Certificación

De manera novedosa, el Reglamento aporta una nueva importancia a  los esquemas de certificación. Éstas, pueden ser otorgadas por las Autoridades de protección de datos, tanto individual como colectivamente desde el Comité Europeo, o por entidades debidamente acreditadas.

En el caso de optar por las entidades, esta acreditación puede ser dada por las propias Autoridades o a través de entidades de acreditación previstas en la normativa europea sobre normalización y certificación.

En este punto la Agencia, ha destacar que sería recomendable encomendar la certificación a entidades especializadas debidamente acreditadas y dejar que se ocupe de la acreditación de éstas la Entidad Nacional de Acreditación (ENAC), contando para ello con la participación de la Agencia.

  1. Delegados de protección de datos. Certificación

Otro de los puntos clave de este reglamento y que más revuelo ha causado, ha sido la figura del delegado de protección de datos. Las funciones de esta figura parecen claras, haciendo de nexo de unión entre los responsables y/o encargados con la Agencia y los usuarios. Con respecto a su nombramiento, la norma, requiere que sean nombrados en función de sus cualificaciones profesionales, en especial su conocimiento en materia de protección de datos, y su capacidad para el desempeño de sus funciones. Estas cualificaciones no están recogidas en la norma, por lo que estas aptitudes y conocimientos, deberán realizarse no tanto en función de criterios externos, sino como de las necesidades de los tratamientos concretos que cada organización lleve a cabo.

Por parte de la Agencia, no se ha considerado la necesidad de establecer un sistema de certificación de Delegados de Protección de Datos que opere como requisito para el acceso a la profesión.

Sin embargo, la Agencia por su parte, está interesada en valorar la promoción de entidades de certificación de profesionales. Estas acreditaciones, sería llevadas a cabo por la Entidad Nacional de Acreditación (ENAC).

  1. Relación entre responsables y encargados

Uno de los puntos críticos, es la relación de las figuras de responsables y encargados. Destacar que estas figuras con el Reglamento se asemejan llegando a tener un mismo nivel de responsabilidad en el tratamiento de datos.

El contrato entre estas dos figuras va a tener que incorporar obligaciones de las partes ante la prestación del servicio de encargo que se acuerda, respetando  en todo caso el contenido fijado por el Reglamento.

Durante estos dos años habrá que realizar dos acciones:

Revisar los contratos ya firmados que vayan a prolongarse en el tiempo.

Incluir en las nuevas cláusulas contractuales todos los elementos que el Reglamento considera necesarios.

  1. Necesidad de inscripción de ficheros.

Una de las primeras medidas que se imponían en una adaptación a la LOPD, era la inscripción de los ficheros en la Agencia, sin embargo esta necesidad se elimina con el nuevo Reglamento. Esta necesidad de inscripción daba una seguridad jurídica al ciudadano ya que podía tener acceso de manera fácil y sencilla a todos los datos del responsable del tratamiento para poder dirigirse a él de manera ágil.

Con esta no necesidad de la inscripción de ficheros, el Reglamento ha querido dar más responsabilidad al responsable y encargado, teniendo que tener toda esta información en su poder, fácilmente accesible y que sea sencilla e inteligible. Igualmente esta información se encuentra ampliada en el Reglamento, por lo que deberá de ser revisada paulatinamente.

En palabras de la Agencia: “hasta el 25 de mayo de 2018 se deberán seguir inscribiendo ficheros, a partir de esa fecha ya no será necesario”.

  1. Privacidad por diseño.

En línea con lo anterior, hay que destacar que el nuevo Reglamento opta por la privacidad por diseño, para confeccionar la seguridad del tratamiento de los datos personales.

Esta privacidad por diseño, va a dar un papel primordial al responsable o encargado, ya que igualmente se eliminan las medidas de seguridad por niveles, obligando a optar las medidas de seguridad que se crean necesarias para cada tratamiento de datos.

Esta consideración para la fijación de estas medidas en función del tipo de dato que se esté tratando y del tipo de tratamiento, va a depender única y exclusivamente del análisis y programación del responsable/encargado. Aunque desde la Agencia, si es cierto que en dicha reunión se nos insinuó que existía la posibilidad de que dieran algún tipo de orientación hacia qué tipo de medidas debería aplicarse para determinado tipo de datos o tratamiento.

Este punto es importante, ya que las medidas de seguridad actuales no serán las únicas que podrán ser utilizadas, ampliando aún más el abanico de actuación del responsable/encargado.

Con respecto a todas estas novedades que hemos mencionado, cabe destacar que la Agencia está trabajando en la elaboración de informes, herramientas y material en general para ayudar con la adaptación paulatina de este nuevo Reglamento.

Sin duda esta norma ha introducido un nuevo panorama en la Protección de Datos, dando un papel más importante a los responsables y encargados en cuanto a la seguridad y la protección de los datos. Por otra parte las empresas encargadas de este campo nos obliga a una continua evolución y una actualización tanto de la organización como del contenido.

Legalización del envío de datos a Estados Unidos

Legalización del envío de datos a Estados Unidos

Como consecuencia de la anulación por parte del Tribunal de Justicia de la Unión europea, la Agencia Española de Protección de datos se está dirigiendo por carta a las empresas españolas que transfieren datos a Estado Unidos para pedirles que legalicen el envío de esos datos antes de finales de enero, en concreto el 29 de enero de 2016.

Las empresas que se ven afectadas por ésta obligación son aquellas que usan algún tipo de servidos o sistema de almacenamiento en la nube o algún gestor de proyectos en Estados Unidos  como por ejemplo DROPBOX o AMAZON.

En realidad, el requerimiento de la Agencia Española de Protección de Datos es una moratoria tras la publicación de la sentencia del Tribunal de Justicia de la Unión Europea porque el volumen de empresas y de archivos es extremadamente grande y la adaptación requiere un tiempo mínimo.

En éste sentido serán las grandes tecnologías que prestan éstos servicios a las empresas las que requerirán al director de la Agencia Española de Protección de datos la autorización explícita del envío de datos a Estados Unidos y justificar que cumplen con las normas de seguridad en la transferencia de datos.

Es importante resaltar que en caso de que las empresas ya no realicen ésos servicios, tendrán que comunicarlo también de forma expresa a la Agencia Española de Protección de Datos. La Agencia se reserva la potestad de anular provisionalmente el envío de una empresa que no legalice el envío antes del 29 de enero.

Legalización del envío de datos a Estados Unidos

Legalización del envío de datos a Estados Unidos

La protección de datos en los menores

La protección de datos en los menores

Por todos es conocido que existen entidades como clínicas médicas y odontológicas, colegios y guarderías que tratan datos de carácter personal de menores y por ello requieren una protección especial. Todas ésas entidades deben cumplir con la Ley Orgánica de Protección de Datos.

Por ello, pasamos a resumir los puntos en los que se puede ver qué relación existe entre la Ley Orgánica de Protección de Datos, en adelante LOPD y los menores.

Como puede deducirse, es imprescindible que para el tratamiento de los datos de carácter personal o su cesión se requiera el consentimiento de los interesados. En caso de que se trate de menores de catorce años es necesario el consentimiento de los padres o tutores. El lenguaje que se utilice para dirigirse a los menores debe ser un lenguaje fácil y sencillo de entender que no lugar a ningún tipo de confusión.

Cuando la autorización la hayan dado los padres, se deberá garantizar de alguna manera que ese consentimiento es auténtico.

Será necesario que las  entidades a las que nos venimos refiriendo desde el principio informen sobre los derechos que asisten a los menores en cuestión o en caso de ser menores de catorce años a sus padres. Deberán  informar de la identidad y la dirección del responsable del tratamiento y de la finalidad para la que se recogen los datos, así como el deber de garantizar que  la finalidad expresada es la real y que no va a tener otras finalidades distintas de las establecidas en el requerimiento del consentimiento  y de las que se detallan en la recogida de datos.

No se podrá pedir a los menores que facilite información sobre las profesiones de sus padres o tutores, así como tampoco información económica ni relativa a cualquier otro concepto sin que exista consentimiento expreso de los padres para facilitar esta información. La información de la que estamos hablando sólo podrá ser recogida con la finalidad de contactar con los padres para pedir el consentimiento de los mismos al tratamiento de los datos de carácter personal.

Después de haber recabado información de carácter personal, la empresa o entidad encargada del tratamiento está obligada a probar que ha cumplido con las exigencias de informar y recabar el consentimiento, es decir, que tiene el deber de  probar que ha cumplido las obligaciones de informar al interesado y de conservar el soporte que pruebe que realmente ha informado.

Para cualquier cuestión relativa a éste tema u otros distintos pueden ponerse en contacto con nuestros asesores legales de Equal Abogados situados en nuestra oficina de Madrid.

La protección de datos en los menores

La protección de datos en los menores