Protección de Datos

Image

Protección de datos.

El 25 de mayo de 2018 entró en vigor el Reglamento General de Protección de Datos (RGPD) aplicable en todos los estados de la Unión Europea, que impondrá nuevas obligaciones para cualquier empresa que recoja datos de ciudadanos europeos, por lo que muchas de ellas –especialmente las pymes- se han mostrado alarmadas ante el temor de no poder cumplir con las directrices. Las sanciones por no cumplir con la ley pueden llegar a los 20 millones de euros o al 4% del volumen de negocio total anual, sin contar con los perjuicios de reputación e imagen.

Según sondeos recientes, el 38% de las empresas españolas reconoce no estar aún preparadas para poner en marcha el reglamento, y el 52% de las pymes no está familiarizado con la nueva normativa, e incluso desconoce de su existencia.

Asimismo se debe realizar un estudio pormenorizado de la empresa en cuestión ya que no tendrán las mismas obligaciones una pyme que vende productos online o un pequeño comercio de barrio que un gran hospital que trata datos sensibles.

En Sindarin Consulting realizamos, bajo presupuesto, la adaptación de su empresa al nuevo REGLAMENTO GENERAL DE PROTECCION DE DATOS (en adelante RGPD) para garantizar que cumple con todos los requisitos que establece el nuevo reglamento o subsanar las deficiencias que pueda tener respecto al mismo, evitando así la posibilidad de recibir una sanción por el incumplimiento de la nueva ley, asi como el coste añadido de preparar y tramitar toda la documentación que nos pudiesen solicitar.
¿Que es el nuevo RGPD y LOPD-GDD? ........... Ver articulo completo
El pasado día 4 de mayo de 2016 se publicó en el Diario Oficial de la Unión Europea el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
El nuevo Reglamento General de Protección de Datos RGPD (en adelante RPPD) es aplicable desde el 25 de mayo de 2018. Pretende armonizar las normativas de los países miembros de la UE, las cuales se caracterizaban por su heterogeneidad y fragmentación en cada uno de los países integrantes de la UE.
A continuación, vamos a exponer de una manera breve y concisa, las principales obligaciones que impone el nuevo RGPD:
-Registro de Actividades de Tratamiento: En la actualidad desaparece la obligación de solicitar la inscripción de los ficheros responsabilidad de la empresa. En cambio, las empresas deberán elaborar dicho Registro, donde se deberá detallar toda la información relativa a cada uno de los tratamientos de datos personales que realice la empresa.
-Novedades en materia de información: Las empresas han de usar un lenguaje sencillo y claro. Los interesados deberán entender qué se va a hacer con su información personal, por lo que se deberá informar para ello mediante formulario de recogida de datos, pies de correo, avisos en documentos, etc.
-Páginas web: Las páginas web han de facilitar una información clara, sencilla y accesible sobre la recogida y uso los datos personales de los usuarios. Así mismo, las políticas de privacidad excesivamente extensas y complejas carecen de sentido. En cuanto a las cookies, el Reglamento establece la necesidad de informar mediante una ventana emergente de que dicha página web usa cookies, debiendo aceptarse o rechazarse de forma expresa e inequívoca.
-Consentimiento explícito: El consentimiento tácito deja de tener validez jurídica. El consentimiento deberá darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado. No es válido dar por sentado que el interesado acepta el consentimiento sin una aceptación mediante firma, casilla de validación u otra forma que indique claramente dicha aceptación.
-Contratos de Encargado de Tratamiento: La nueva normativa establece nuevas condiciones para todos los prestadores de servicios que necesiten acceso a los datos personales responsabilidad de la empresa. Ej.: Asesorías, mantenimiento web, etc.
-Responsabilidad proactiva: Será la empresa quien deba de probar que efectivamente cumple con la normativa. Así mismo, desaparece el catálogo estándar de medidas de seguridad, debiendo la empresa implementar aquellas medidas que crean adecuadas en función del riesgo de las actividades de tratamiento.
-Auditorías: Las empresas responsables del tratamiento deben realizar, según las características de los datos tratados, y con carácter anual, auditorías para verificar, evaluar y valorar la eficacia de las medidas técnicas y organizativas implantadas.
-Violaciones de seguridad: Las empresas deben comunicar a la AEPD todas aquellas violaciones de seguridad de datos que detecten en el plazo máximo de 72 horas. Del mismo modo, si dicha violación afecta a los derechos y libertades de personas, dicha comunicación también habrá de hacerse a las mismas, con un lenguaje claro y sencillo.
-Videovigilancia: Se deberá informar de forma clara y sencilla de la instalación de sistemas de videovigilancia.
-Nuevos derechos: Aparece la figura de tres nuevos derechos:
  • Portabilidad: consistente en la posibilidad de que la persona pueda solicitar el traspaso de sus datos a otra empresa.
  • Derecho de supresión: O derecho al olvido, consistente en el derecho que tienen las personas a eliminar sus datos personales de internet en determinados supuestos.
  • Limitación: Supone suspender el tratamiento de los datos en determinados supuestos.
-Evaluaciones de impacto: La empresa deberá llevar a cabo una Evaluación de Impacto cuando determinadas actividades de tratamiento conlleven un alto riesgo para los derechos y deberes de los interesados.
-Delegado de Protección de Datos (DPD/DPO): Se deberá nombrar un DPD que asegure el cumplimiento interno de la normativa en determinadas circunstancias según los datos tratados.
-Nuevo Régimen Sancionador: Se establecen, en función de la gravedad, multas de hasta 20 millones de euros o el 4% del volumen de facturación anual global de la empresa.
 
Asimismo, y como complemento al RGPD se publicó el 6 de diciembre de 2018 en el Boletín Oficial del Estado la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en adelante LOPD GDD, que venía a sustituir a la entonces vigente Ley Orgánica 15/1999, entrando en vigor al día siguiente.
La llegada de esta nueva ley se hacía necesaria ante los cambios producidos en la sociedad, especialmente ante el creciente aumento de las nuevas tecnologías.
Esta nueva Ley Orgánica viene a complementar y desarrollar aquello que no se establecía en el Reglamento General de Protección de Datos, estableciendo importantes novedades al respecto, especialmente en lo que a los derechos digitales se refiere.
Entre las novedades que establece la nueva ley destacan las siguientes:
Desarrollo de un elenco de derechos digitales
Estas nuevas obligaciones están en consonancia con el art. 18.4 CE relativo a la limitación del uso de la informática para garantizar el honor y la intimidad personal. Éstos nuevos derechos se encuentran recogidos en el Título X de la nueva ley, concretamente en los art.79 al 97, bajo el título “Garantía de los derechos digitales”.
Entre estos artículos destacan el derecho a la neutralidad en Internet (art. 80), el derecho de acceso universal (art. 81), a la seguridad digital (art. 82), el derecho a la desconexión digital en el ámbito laboral (art. 88), a la intimidad en el ámbito laboral (arts. 89 y 90), derecho al olvido (arts. 93 y 94) así como al testamento digital (art. 96).
 
Designación de un Delegado de Protección de Datos
Se recoge el derecho relativo a la designación de un Delegado de Protección de Datos, el cual está en consonancia con el art. 37 del RGPD.
Establece una serie de supuestos concretos donde es obligatorio la designación de esta nueva figura. Entre estos supuestos cabe destacar, entre otros, los colegios profesionales, en los centros docentes, los establecimientos financieros y de crédito, las entidades aseguradoras y reaseguradoras, las entidades que desarrollen actividades de publicidad y prospección comercial, las empresas de seguridad privada, las federaciones deportivas cuando traten datos de menores de edad o los centros sanitarios obligados al mantenimiento de las historias clínicas.
En este último supuesto es importante aclarar que existe una excepción, como es que no es necesaria la designación de un Delegado de Protección de Datos cuando los profesionales de la salud ejerzan su actividad a título individual.
Aunque no sea obligatorio el uso de esta figura en una entidad, toda aquella que lo desee podrá designar uno forma voluntaria.
 
Tratamiento con fines de videovigilancia
Este artículo versa sobre el tratamiento con fines de videovigilancia, ampliando las posibilidades que se encontraban recogidas en dicha Instrucción. Tras la entrada en vigor de esta ley, se ha desplazado la Instrucción 1/2006, de 8 de noviembre de la AEPD.
Así, por ejemplo, en el apartado 2 se establece que “será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte, sin que en ningún caso pueda suponer la captación de imágenes del interior de un domicilio privado”.
 
Respecto a los menores de edad
Se fija la edad mínima que han de tener los menores de edad para poder prestar su consentimiento, dando respuesta así al RGPD, el cual establece en su art. 88 segundo párrafo que “Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años”.
Así, la edad mínima que fija la nueva ley para el tratamiento de datos personales de menores de edad es de 14 años. Se exceptúan aquellos casos en los cuales la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del negocio jurídico.
 
Tratamiento de datos de contacto
El artículo 19 de la ley recoge el tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales.
Lo que recoge este artículo es que se podrán tratar los datos de contacto, así como los datos relativos a las funciones o puestos desempeñados por personas físicas cuando se cumplan una serie de requisitos:
  1. Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
  2. Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
La introducción de este artículo es importante ya que afecta, por ejemplo, a una tarjeta de visita.
 
Bloqueo de datos
El artículo 32 de la nueva Ley Orgánica establece el bloqueo de los datos. En él se recoge el deber de bloquear los datos cuando el responsable deba proceder a su rectificación o cancelación (artículos 14 y 15 respectivamente).
El bloqueo de datos consiste en impedir su tratamiento, excepto para determinados casos como puede ser la puesta a disposición de los mismos a los jueces y tribunales, al Ministerio Fiscal o a las Administraciones Públicas competentes.
 
Derecho a la desconexión digital en el ámbito laboral
Se establece que los trabajadores o empleados públicos tienen derecho a desconectar del mismo, no teniendo que estar obligatoriamente pendientes del móvil o del ordenador. De esta forma, se respeta así su tiempo de descanso, permisos y vacaciones.
Lo que pretende este nuevo derecho es la conciliación de la vida personal y laboral, especialmente cuando la realización total o parcial del trabajo sea realizado en el domicilio del empleado o a distancia.
 
Intimidad frente a dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo
Se establece que los empleadores podrán tratar las imágenes que se obtengan por los sistemas de cámaras o videocámaras para controlar de los trabajadores o los empleados públicos (en relación con el art. 20.3 ET), quedando excluidas aquellas zonas de descanso que los trabajadores puedan tener, tales como vestuarios, aseos o comedores.
Es importante resaltar que se ha de tratar de empleados públicos, quedando excluido, por tanto, el sector privado.
Sólo es aplicable cuando resulte relevantes los riesgos para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo y respetando el principio de proporcionalidad.
 
Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral
Lo que pretende este artículo es permitir a la empresa tratar los datos que se obtengan a través de sistemas de geolocalización para el control de los empleados públicos.
Para ello, se ha de informar previamente de forma expresa, clara e inequívoca sobre la existencia y características de estos dispositivos, así como el derecho que tienen sobre el posible ejercicio de sus derechos.
Este derecho deberá ser proporcional y los límites no podrán resultar invasivos para la intimidad de los empleados.
 

Preguntas sobre el RGPD

En general, todas las empresas y personas físicas (autonomos) que traten o utilicen cualquier tipo de datos de caracter personal para el desarrollo de su actividad.  No están obligados al RGPD quienes usen los datos personales para el uso exclusivamente en su vida privada.

Segun esta definición del RGPD, quedan obligadas cualquier persona o entidad que trate datos de clientes, proveedores, empleados o candidatos, suscriptores o registrados en una web, personas que hayan sido grabadas por sistemas de videovigilancia, etc

Como ejemplo, ademas de empresas y autónomos,  podemos indicar algunas entidades obligadas según el RGPD:  Comunidades de propietarios, clubs deportivos, asociaciones vecinales, organizaciones sin ánimo de lucro, peñas recreativas, etc..
Los datos personales son cualquier información relativa a una persona física viva identificada o identificable. Las distintas informaciones, que recopiladas pueden llevar a la identificación de una determinada persona, también constituyen datos de carácter personal.

Los datos personales que hayan sido anonimizados, cifrados o presentados con un seudónimo, pero que puedan utilizarse para volver a identificar a una persona, siguen siendo datos personales y se inscriben en el ámbito de aplicación del RGPD.

Los datos personales que hayan sido anonimizados, de forma que la persona no sea identificable o deje de serlo, dejarán de considerarse datos personales. Para que los datos se consideren verdaderamente anónimos, la anonimización debe ser irreversible.

El RGPD protege los datos personales independientemente de la tecnología utilizada para su tratamiento; es «tecnológicamente neutro» y se aplica tanto al tratamiento automatizado como manual, siempre que los datos se organicen con arreglo a criterios predeterminados (como el orden alfabético). Asimismo, no importa cómo se conservan los datos; ya sea en un sistema informático, a través de videovigilancia o sobre papel; en todos estos casos, los datos personales están sujetos a los requisitos de protección establecidos en el RGPD.

Ejemplos de datos personales:
  • Nombre y apellidos.
  • Domicilio.
  • Datos que se encuentren en una agenda o en Contactos del movil.
  • Dirección de correo electrónico, del tipo nombre.apellido@empresa.
  • Fotografias o imágenes donde aparezca el interesado.
  • Número de documento nacional de identidad o de Seg-social.
  • Datos de localización (como la función de los datos de localización de un teléfono móvil).
  • Dirección de protocolo de internet (IP).
  • El identificador de una cookie.
  • Nº de cuenta bancaria
  • Recibo de pago de un TPV (en caso de cobro con Tarjeta).
  • El identificador de la publicidad del teléfono.
  • Los datos en poder de un hospital o médico, que podrían ser un símbolo que identificara de forma única a una persona.
Ejemplos de datos no considerados personales:
  • número de registro mercantil,
  • dirección de correo electrónico, del tipo info@empresa.com,
  • datos anonimizados.
 
Puede realizar la adaptación al RGPD de los datos que trata su empresa de las siguientes formas:
  • Personalmente (No recomendado) mediante la aplicación que la AEPD pone a su disposición en su web o utilizando algunas aplicaciones de pago en Internet.
No recomendamos esta opción ya que, aunque estas aplicaciones pueden ayudarle a adaptar sus ficheros al RGPD, son meramente orientativas y generalmente, dado el poco conocimiento e inexperiencia del responsable en el tema, no adaptan los formularios y demás documentación a rellenar con la amplia variedad de casos que existen, quedando muchas lagunas y no realizando una adaptación realmente válida.
 
  • Contratando la adaptación a distancia (No recomendado).
Aunque nuestra empresa, Sindarin Consulting también tiene esta opción, por exigencia de algunos clientes y para poder realizar ofertas que puedan competir con otras empresas que ofrecen este servicio, no la recomendamos y no somos partidarios de trabajar esa fórmula.  Son ofertas bastante económicas debido principalmente a que simplemente es un traspaso de datos tomados mediante un formulario a los documentos que deben registrar el tratamiento.

Como podrán comprobar en las ofertas de la web, se trata básicamente de recopilar los datos mediante uno o varios formularios que se envían al responsable del tratamiento y que debe rellenar él mismo o sus empleados, incorporando los datos que se le solicitan.  Posteriormente dichos datos son trasladados por la empresa contratada a los documentos del tratamiento de datos, pero sin realizar una correcta adaptación que cumpla con la normativa del RGPD.

Esta forma de adaptación también deja muchas lagunas, ya que la empresa que realiza la adaptación no realizan visitas presenciales a las instalaciones del responsable del tratamiento, con lo cual no se puede saber realmente las medidas de seguridad que se deben adoptar tanto en los equipos informáticos, en las instalaciones o en la formación que debe tener el personal que trata esos datos.
 
  • Contratando una empresa especializada en la Adaptación al RGPD (Opción recomendada)
Mediante esta opción tendrá una adaptación al RGPD realmente acorde a la normativa exigida.  Se realizarán visitas presenciales a su empresa, verificando todos los aspectos que influyen en la seguridad de los datos tratados, tanto en instalaciones como en los equipos de tratamiento.  Asimismo, se imparten unas clases de formación al personal que trata los datos y se entrega un protocolo de actuación en caso de incidencias.

A elección del contratante puede contratarse, además, un mantenimiento del Tratamiento de Datos mediante visitas periódicas a las instalaciones del responsable.
Porque cumplir la normativa de Protección de datos
Evidentemente, la ley hay que cumplirla sí o sí, pero si todavía no has dado el paso adelante para regularizar tu situación, debes considerar las siguientes ventajas de cumplir con la LOPD.
  1. Evitarás las sanciones de la Agencia Española de Protección de Datos. Un palo de estas características puede ser realmente desastroso para tu negocio. Pero no sólo desde el punto de vista económico, sino por las consecuencias jurídicas que pueda tener si el caso implica algún perjuicio grave para la persona que te ha confiado sus datos.
  2. Mejorarás tu credibilidad frente a tus clientes. Si cumples rigurosamente la ley, puedes decirlo. Y si lo dices, a los clientes o potenciales clientes les costará menos trabajo darte sus datos personales, ya que sabrán que eres de fiar.
  3. Conseguirás mejorar la seguridad de tu negocio. No sólo en lo referente a la protección de datos de terceros, sino en general de tus propios datos. Cuando proteges a tus clientes, tus empleados y tus proveedores, te estás protegiendo a ti mismo, tu futuro y las transacciones que se producen en tu negocio.
  4. Para evitar que nadie sin tu conocimiento obtenga los datos personales. En una empresa puede trabajar mucha gente, y por prudencia es preferible que no todo el mundo tenga los datos de clientes, proveedores y empleados. Los datos de terceros deben protegerse al máximo para ser una empresa que hace sus deberes.
  5. Para conseguir o conservar nuevos contratos. Porque actualmente ya hay empresas y administraciones que exigen que cumplas con la normativa sobre Protección de Datos para trabajar contigo. Y si no lo cumples, es probable que no puedas firmar el contrato y por tanto pierdas un cliente potencial. Cumplir la Ley te dará más puntos de cara a futuros trabajos.
Para saber si estas obligado a implantar el RGPD, contesta el siguiente formulario. Te indicamos que si has contestado si en alguna de las preguntas realizadas debes cumplir con el RGPD.

- ¿Trabaja con alguna asesoría que tenga acceso a datos de clientes o proveedores?
- ¿Utiliza empresas de transportes o paquetería?
- ¿Tiene contratada alguna empresa de mantenimiento informático?
- ¿Tiene página web o email corporativo (de empresa)?
- ¿Tiene personal asalariado en su empresa?
- ¿Ha recibido curriculum de solicitantes de empleo?
- ¿Dispone de sistema de videovigilancia?
- ¿Guarda datos de clientes, proveedores o personal asalariado?
- ¿Utiliza para el cobro medios telemáticos (TPV, pasarela de pago, etc)?

Para cualquier consulta respecto al tema, puedes utilizar el formulario de contacto indicando tu consulta.  Te responderemos a la mayor brevedad posible.
Solicitud de Información
Image