¿Por qué tienen los autónomos que cumplir con la protección de datos?

La legislación de protección de datos es una obligación para todos los profesionales y personas jurídicas que cuenten con un fichero de datos. En este artículo te explicamos por qué los autónomos deben cumplir con el RGPD que entró en vigor el 25 de mayo de 2018 y te damos consejos para que te resulte más sencilla la adaptación.

Por qué los autónomos deben cumplir con la LOPD

La Ley Orgánica de Protección de Datos (LOPD) de 1999 es el primer texto legislativo que reguló la gestión de los datos personales y que obligaba a controlar la gestión, sobre todo desde la óptica de garantizar los derechos del usuario. Hemos de indicar que si bien el RGPD ha ampliado los supuestos, no ha invalidado el articulado, que sigue vigente. La base está en los derechos ARCO que has de tener en cuenta porque siguen siendo la base para trabajar con los clientes y/o usuarios.

1. Acceso

Tienes que garantizar que cualquier persona que figure en tu base de datos acceda a su información fácilmente. La LOPD es un texto genérico y, por lo tanto, era suficiente con que facilitases un correo electrónico para que te enviasen la solicitud; tú, posteriormente, tendrías que facilitar la información que tenías de la persona.

2. Rectificación

Otro aspecto igualmente importante es garantizar que quien accede a sus datos pueda cambiarlos en cualquier momento si lo considera oportuno. Es posible que un cliente cambie de dirección, que sus datos se hayan recogido mal o que incluso varíe su estado civil; has de ofrecer la posibilidad para que modifique esa información a petición de parte.

3. Cancelación

De la misma manera que has de garantizar el acceso y facilitar el alta, has de incluir un contacto para que el usuario se dé de baja de tu base de datos cuando lo considere oportuno. La idea es que si en algún momento finaliza la relación comercial, tú no has de tener más datos en tu poder que los estrictamente necesarios para cumplir con tus obligaciones fiscales.

4. Oposición

Como autónomo, tendrás que informar del tratamiento de datos para que en un momento determinado el usuario pueda negarse a que se utilice su información. Si una persona te compra un producto o servicio pero no quiere figurar en ninguna lista de clientes para que le manden publicidad, ha de poder manifestarlo antes.

Por qué los autónomos deben cumplir el RGPD

El Reglamento Europeo de Protección de Datos (RGPD) es más exigente para el autónomo porque introduce nuevas obligaciones que ha de cumplir, tanto con el usuario como en la gestión de las incidencias en los sistemas de almacenamiento. Ciertamente, las responsabilidades que tienes que asumir son mayores y es importante que las conozcas porque el régimen sancionador se ha endurecido hasta el punto de que podrías pagar en multas el 4 % de tu facturación o hasta 20 millones de euros.

1. Consentimiento expreso

Aunque no era la norma genérica, la LOPD sí prevía la posibilidad de que se diese un consentimiento tácito en la gestión de datos de carácter personal. La principal diferencia es que el RGPD exige un consentimiento claro, expreso e inequívoco por parte del usuario. Esto obliga a preguntarle expresamente si nos da su autorización para que utilicemos sus datos personales.

Ten en cuenta que este consentimiento tienes que solicitarlo de nuevo y no vale con la autorización que podías tener con la LOPD. En consecuencia, has de preparar un formulario adaptado a las exigencias de la nueva legislación y asegurarte de que la persona da su consentimiento.

2. Acotar el tratamiento de datos

En la LOPD existía un margen de interpretación a la hora de gestionar datos personales que con la última legislación se ha limitado; la idea es que solo puedas almacenar y utilizar esos datos en el caso de que haya un interés legítimo.

Has de tener en cuenta que cuando tengas un fichero de datos personales tienes la responsabilidad de utilizarlo solo para lo estrictamente necesario y, en caso de duda, has de priorizar los derechos del usuario.

3. Autorregulación

Antes de que se promulgase la nueva ley había una serie de gestiones que realizar con la Agencia Española de Protección de Datos (AEPD) que ahora pasan a ser responsabilidad del autónomo. Hoy ya no va a ser suficiente con enviar datos a la AEPD, sino que te tendrás que encargar de algunas responsabilidades.

Los dos puntos más importantes son el nombramiento de un Delegado de Protección de Datos (DPO) y la obligación de eliminar periódicamente la información no imprescindible. Además, tienes que responsabilizarte de enviar a la AEPD la notificación de cualquier incidencia en un plazo máximo de 72 horas desde que esta se origine.

Todas estas nuevas condiciones te obligan a garantizar que el protocolo de tratamiento de datos se va a adaptar a las nuevas demandas. Lo común es que para todas estas gestiones te dirijas a un especialista en la materia.

4.Extensión de derechos

En el RGPD hay una extensión de derechos ARCO que se manifiesta de dos maneras diferentes porque el objetivo es mejorar las garantías para los usuarios.

En primer lugar con el derecho a la portabilidad, que implica que tienes que facilitar la lectura de los datos personales al usuario en un soporte fácil de consultar, como puede ser una extensión doc o xml. La idea es que cualquier persona pueda consultar sus datos sin tener dificultades para ello.

El llamado derecho al olvido es una extensión del derecho de oposición e implica que los datos personales puedan ser borrados de foros y motores de búsqueda, siempre y cuando no haya una colisión con el derecho a la información.

Conclusión

Ahora que ya sabes por qué los autónomos deben cumplir el RGPD, te interesa conocer quién te puede ayudar a ponerte al día. Para ello, te recomendamos que trabajes con una consultoría especializada como clickDatos; de esta manera, estamos seguros de que te resultará mucho más sencillo el trabajo cotidiano y evitarás problemas. Contacta con nosotros y te daremos más detalles.

imagen

¿En qué situaciones puedes grabar a la gente?

Saber cuándo puedes grabar a la gente en lugares públicos no es algo fácil en muchas de las ocasiones. En estas grabaciones confluyen una serie de derechos que vienen regulados por distintas leyes. No se trata solo de seguir lo que pueda decir la LODP, Ley Orgánica de Protección de Datos, al respecto o las reglamentaciones accesorias a la misma.

En la mayoría de los casos habrás de considerar cuestiones como el objetivo de las imágenes, su intención o posibilidad de difusión e incluso las características de la gente que estás grabando. En algunas de estas situaciones la grabación de imágenes puede vulnerar derechos como el de la intimidad y en otros incluso este puede verse superado por otros derechos, como el derecho a la información, que habilitarían la obtención y uso de estas imágenes.

Si lo que quieres no es grabar a la gente con unos fines informativos y el objetivo de difundir esas imágenes, sino como mecanismo de seguridad, entonces tienes que estimar cómo afecta a la videovigilancia el RGPD, Reglamento de Protección de Datos, o si puedes grabar a los empleados.

Grabar imágenes con el objetivo de difundirlas

Esto, que es algo que generalmente ha estado reducido a los periodistas y profesionales de la información que normalmente se encuentran al día de lo que pueden hacer o no, en los últimos tiempos ha trascendido al público general.

La evolución de los smartphones ha puesto al alcance, incluso de los menores, la posibilidad de disponer en tu bolsillo, de una forma permanente, de una videocámara o cámara fotográfica que hubiese sido la envidia de cualquier reportero hace solo unos años.

Esto, unido al deseo de popularidad promovido por las redes sociales, hace que cada día te encuentres más gente grabando imágenes y vídeos de terceros que son expuestas sin ningún criterio en canales de difusión.

Estas acciones son absolutamente ilegítimas pues el derecho a la intimidad obliga a contar con el consentimiento explícito de las personas grabadas para su publicación o difusión o la utilización con fines publicitarios o comerciales. En las publicaciones que hace mucha gente en Youtube se supone un interés comercial implícito de promoción, independientemente de que exista o no un beneficio económico.

Podemos contar con dos excepciones a la regla general de proteger el derecho superior a la intimidad y que prevalezca el derecho a la información que se dan en los siguientes casos:

– Cuando la persona o personas grabadas son personajes públicos por su cargo o por su profesión y se encuentran en lugares abiertos y de tránsito público.

– Cuando la imagen es casual o accesoria y lo que es relevante es la información. En este caso no hay una intención de difundir la imagen de la persona ni se habla de la misma. Su aparición es meramente casual.

Las grabaciones de seguridad: regulación de la videovigilancia y RGPD

Es legítima la instalación de cámaras de seguridad con el fin de proteger bienes y con fines disuasorios que puedan evitar la comisión de delitos o ayudar, en su caso, a la identificación de los culpables.

En estos casos es inevitable que las cámaras graben a personas que pueden ser reconocibles y capturen otros datos identificativos como pueden ser las matrículas de coches o documentos de identificación personal. A menudo es incluso su objetivo principal.

Intentar resumir aquí las bases que rigen el tratamiento de imágenes de seguridad es imposible. Solo basta que veas toda la documentación que la propia AEPD tiene desarrollada al respecto con la finalidad de que se pueda realizar su aplicación conforme al RGPD en cada situación específica.

Sí podemos hablar de los principios generales que la rigen como son los de tener un interés legítimo para utilizar sistemas de captación de imágenes, limitar la finalidad de las mismas al uso legitimado y minimizar la captación de datos a los estrictamente necesarios.

En este sentido es evidente que una comunidad de propietarios tiene un interés legítimo en proteger la propiedad con cámaras que circunden el perímetro, pero, por ejemplo, tiene el deber de minimizar la captación de datos innecesarios como serían las imágenes del interior de viviendas o zonas privativas.

Del mismo modo, vemos como en la protección de establecimientos públicos las cámaras deben limitar su acción al interior del lugar y a una mínima franja de acceso desde el exterior, evitando en todo lo posible la captación de cualquier otra imagen de la vía pública.

En cualquiera de los casos es imprescindible que, con anterioridad a la puesta en marcha del sistema, se elabore internamente un protocolo de registro de actividades destinado a recoger todos los hitos correspondientes al tratamiento de estas imágenes.

Pero como te hemos venido explicando, estas normativas se establecen exclusivamente para lo que concierne al tratamiento de datos personales, pudiendo verse afectadas las situaciones por otro tipo de legislaciones.

Las grabaciones en el ámbito laboral

Precisamente, uno de los ámbitos en que confluyen más normativas es la especial situación que se establece en las relaciones laborales en las que, además de todas las normativas aplicables citadas, tanto la legislación laboral como la jurisprudencia establecen criterios adicionales que afectan al hecho de grabar a los empleados.

La legislación laboral, en el propio Estatuto de los trabajadores, establece la legitimación del empresario para establecer medidas de vigilancia y control que aseguren el cumplimiento de las obligaciones laborales. Así lo expresa en su artículo 20 y numerosas sentencias establecen la confirmación de esta legalidad al respecto.

Lógicamente estas grabaciones se han de limitar a determinados espacios y ser proporcionadas. Sin embargo, solo se establece por parte de la empresa la obligación de informar sobre estas grabaciones y sus espacios sin existir la necesidad de obtener un consentimiento expreso que se presume derivado de la relación.

Como puedes ver, determinar cuándo puedes grabar a la gente y el alcance y forma de proceder a las mismas es un tema delicado. Nuestra recomendación es que te asesores en cada caso y sigas las pautas que, en cuanto a protección de datos, establece la AEPD.

imagen

Tus datos son sagrados, dales el valor que les corresponde

Hoy en día sufrimos un bombardeo constante de noticias e informaciones hasta tal punto que es difícil estar al día de todos los eventos. Nosotros tampoco escapamos a este “capitalismo informativo”. Recientemente tuvimos constancia de una noticia del verano pasado, en la que el Tribunal de Justicia de la Unión Europea señalaba que los Testigos de Jehová no están exentos de cumplir con la normativa de Protección de Datos.

Si bien no vamos a analizar esta noticia, vaya por delante que este artículo no pretende ofender la sensibilidad de nadie, sino que se escribe con la intención de “invitar a la reflexión”. Siguiendo la línea que ha marcado el Tribunal de Justicia de la UE, ¿hay alguien exento de cumplir con la normativa más garantista del mundo con la información privada? Alguien contestará: “Claro, los terceros países donde no aplica esta norma”; vale, pero incluso ahí, algún Dios o Diosa estará omnipresente en esos territorios.

¿Os habéis preguntado alguna vez si vuestros datos personales son objeto de transferencias interdivinas? ¿Qué pasaría si San Pedro fuera Encargado del tratamiento del Responsable del Reino de los Cielos? ¿Tendrán debidamente firmado el contrato de acceso a datos por cuenta de terceros? ¿Se podría hablar transferencias internacionales –o incluso interestelares- de datos si ceden nuestros datos al Inframundo?
Cerbero no tiene aspecto de dar muchas explicaciones…

Pero más importante aún; si esto es así, ¿en qué momento se nos ha informado de todos los aspectos del tratamiento? Quizás tendríamos que crear un nuevo Santo o Santa que vele por el cumplimiento normativo entre Reinos y Religiones, o al menos que actúe como Delegado de Protección de Datos Divinos. Incluso para aquellas personas que se conviertan a otra religión, ¿se tendría que tratar como una cesión de datos? ¿Existe el derecho de portabilidad divina? ¿Quién sería el responsable del tratamiento? ¿Las personas interesadas tendrían que ejercitar el derecho de cancelación en su parroquia o ermita más cercana?

Ahora cambiemos las similitudes religiosas por algo más “tangible”. Pensemos en todas las tecnologías recientes, en todas los permisos e invasiones de privacidad que aceptamos sin ser conscientes de ello. La diversión o el ocio es algo tan omnipresente, que ha reemplazado divinidades y las personas, sin saberlo, se han convertido en productos. Parece un mensaje post-apocalíptico, pero cuanto antes lo asimilemos, antes podremos protegernos frente a esas tecnologías “que todo lo ven”.

¿Por qué muchas veces le damos tan poco valor? Necesitamos tomar conciencia de lo que está en juego, que básicamente es nuestro derecho fundamental al honor, a la intimidad personal y familiar y a la propia imagen, como queda reflejado en el artículo 18 de nuestra Constitución. Tenemos un poder inmenso, ya que como consumidores, en nuestra mano está decidir el futuro de las empresas, sean grandes o pequeñas.

Pregunta al aire: ¿Cuál sería el santo o santa más adecuado para la Protección de Datos?

Cambios más relevantes de la nueva LOPD (3/2018)

El pasado 6 de diciembre fue publicada en el BOE la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (“LOPDyGDD”) que incluye una serie de novedades que exceden de lo inicialmente previsto en el Reglamento General de Protección de Datos.

No se pretende hacer un resumen de la nueva normativa, pues esta básicamente viene a trasponer lo que el Reglamento Europeo de Protección de Ddatos establecía y en muchos aspectos se remite a la normativa europea sin aportar nada nuevo o realmente interesante. Por tanto vamos a ver una serie de contenidos y aportaciones interesantes que la nueva LOPDGDD realiza a nuestro ordenamiento.

En primer lugar, el que ha sido el tema más controvertido, la modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, añadiendo un nuevo artículo -el cincuenta y ocho bis-, en el que se permite el envío de propaganda electoral por medios electrónicos o sistemas de mensajería, pudiendo obtener los datos personales en páginas web u otras fuentes a acceso público, con el objetivo de hacer actividades políticas durante el periodo electoral, sin tener la consideración de actividad comercial.

Respecto al tratamiento de datos de personas ya fallecidas, carecíamos todavía de un marco legal básico que permita dar una respuesta adecuada a esta problemática. A tal fin se incorpora en el art. 3, relativo a los “Datos de las personas fallecidas”, la posibilidad de que las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos, puedan dirigirse al responsable o encargado del tratamiento con el objetivo de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.

Como excepción, las personas a las que se refiere el párrafo anterior no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una disposición legal. Esta prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante

En el ámbito laboral también tenemos novedades, y es que se regula la creación de un canal de denuncias internas en el seno de las empresas y permite que las denuncias puedan ser realizadas tanto por un sujeto identificado, como de forma anónima.

En cuanto al Delegado de Protección de Datos (DPD), el artículo 34.1 tasa unos sectores concretos en los que será obligatorio el nombramiento de un DPD. De este modo se especifican los casos que el Reglamento General de Protección de Datos dejaba vagamente descritos, haciendo referencias a supuestos en los que se realizasen tratamientos de datos de forma “sistemática” o a “gran escala” para que fuese necesario llevar a cabo el nombramiento de un DPD. Entre los principales sectores afectados se encuentran los colegios profesionales y consejos generales regulados, universidades y centros docentes que ejerzan enseñanza regulada, empresas aseguradoras y dedicadas a la seguridad privada, entre otras.

Respecto a las sanciones, estas se establecen en el título IX, y destacan por, en primer lugar, liberar de responsabilidad sancionadora al Delegado de Protección de Datos. Según la gravedad, se establecen una serie de sanciones, clasificadas en leves, graves y muy graves, así como un plazo de prescripción que oscilará dependiendo de la cuantía económica que venga aparejada a las sanciones. Estos plazos de prescripción serán de un año cuando el importe de la sanción sea igual o inferior a 40.000 euros, dos años cuando las sanciones sean por importe comprendido entre 40.001 y 300.000 y a los tres años cuando las sanciones sean por un importe superior a 300.000 euros.

Por último, y como principal novedad se incorporan los derechos digitales, al introducir el título X dedicado exclusivamente a la regulación y garantía de este tipo de derechos, que con la proliferación de ciertas tecnologías han sido necesarios establecer. Entre estos derechos destacan:

  • Artículo 89: Derecho a la intimidad frente al uso de videovigilancia y grabación de sonidos en el trabajo
  • Artículo 90: Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral
  • Artículo 91: Derechos digitales en la negociación colectiva
  • Artículo 92: Protección de datos de los menores en Internet
  • Artículo 93: Derecho al olvido en búsquedas de Internet
  • Artículo 94: Derecho al olvido en servicios de redes sociales y servicios equivalentes

En conclusión, estas son las principales novedades que introduce la normativa nacional con respecto a la europea y que será de aplicación para todos los operadores que traten datos de carácter personal en España. Constituye una norma complementaria al Derecho de la Unión Europea, que puede conllevar discordancia con las normas internas que hayan aprobado otros Estados Miembros, y que resulta un tanto decepcionante por no haber abordado ciertas cuestiones que el Reglamento trataba de una forma ambigua y que se podrían haber regulado o desarrollado de una forma más específica.

¿Quién y cómo ha de redactar la política de privacidad de la web de una empresa?

Si tu empresa, sea del tipo que sea, cuenta con una página web, es esencial que conozcas que esta ha de estar completamente adaptada a la legislación vigente en materia de protección de datos. En este sentido, uno de los elementos esenciales de la página de tu empresa será la política de privacidad, por lo que deberás saber quién hace la política de privacidad de tu empresa con el RGPD.

Ahora bien, es probable que tengas muchas dudas en la cabeza ¿Qué es la política de privacidad? ¿Qué es el RGPD? ¿Quién debe encargarse de todo esto? Tranquilo, a lo largo de este artículo iremos resolviendo estas cuestiones.

El Reglamento General de Protección de Datos europeo (RGPD)

De entre toda la amplia legislación en materia de creación de páginas web en Internet, una normativa cuenta con especial relevancia: el llamado Reglamento General de Protección de Datos (RGPD). Y es que esta disposición unifica toda la ley europea, pasando a sustituir la antigua legislación española recogida en la Ley Orgánica de Protección de Datos (LOPD).

El RGPD puede considerarse, por tanto, como la norma fundamental en relación a la protección de las personas físicas en lo que refiere al tratamiento de sus datos personales, y a la circulación de los mismos. De aplicación desde el 25 de mayo del presente año, marca las pautas esenciales a la hora de motar la página web de tu empresa, incluyendo cuestiones relativas a consentimiento, seguridad, información…

La política de privacidad y el RGPD

Qué es la política de privacidad y cuál es su relación con el RGPD

La política de privacidad es un instrumento creado con la finalidad de proteger y preservar el conjunto de derechos del espacio privado de las personas. En este sentido, refiere a un conjunto de medidas que dictan cómo ha de ser utilizada y cómo ha de ser almacenada toda la información que cada usuario que accede a nuestra página web deja en ella.

Por poner un ejemplo, imagina que una persona entra en tu página web e introduce, para registrarse o realizar una compra o consulta, su dirección y número de teléfono. Pues bien, la política de privacidad de tu página web será la que determine qué puedes hacer con esa información, y cómo la almacenarás. De esta forma, existirá un marco de actuación cerrado, que tanto usuario como empresario podréis conocer.

He aquí donde entra en juego el RGPD, puesto que, obviamente, toda política de privacidad deberá cumplir el conjunto de requisitos legales recogidos en esa normativa. Por lo que la redacción de dicha política deberá ir siempre de la mano del contenido del RGPD.

¿Cómo hacer la política de privacidad de una empresa adecuada al RGPD?

Si tuviésemos que reducir a una frase cómo hacer la política de privacidad de una empresa con la LOPD y el RGPD diríamos lo siguiente: la política ha de encontrarse perfectamente adecuada a la ley. Y es que en este tipo de contextos no hay espacio para las excusas, y cada elemento será de importancia crucial a la hora de no incurrir en irregularidades.

Así, aunque la legislación es amplia y compleja y lo ideal es que acudas a profesionales (a los que referiremos más adelante) podría resumirse el modo de realizar una buena política de privacidad de la siguiente forma:

1- Necesidad de abrir un registro en la Agencia Española de Protección de Datos (AEPD): en su página web deberás registrarte, indicando en todo caso el conjunto de ficheros que utilizarás para la recogida de datos de los usuarios que accedan a tu página web.

2- Redacción de la política de privacidad en atención al modelo publicado por el Ministerio: aunque no es obligatorio que tu política sea idéntica a ese modelo, lo cierto es que deberá ser similar o, al menos, aproximarse bastante en su contenido, ya que así te asegurarás de que cumples con las pautas legislativas.

3- Inclusión de una casilla de marcación obligatoria en tu página web: de nada sirve que tu página tenga una buena política de privacidad si el usuario no puede acceder a ella e informarse de su contenido. En este sentido, es legalmente obligatorio que todo aquel que introduzca datos en tu página pueda leer la política. Del mismo modo, junto a ella debe situarse una casilla que les permita indicar que han leído y entendido la política, y que la aceptan en todos sus términos.

¿Quién hace la política de privacidad de una empresa adecuada al RGPD?

Aunque, desde un punto de vista amplio, una política de privacidad la puede hacer cualquiera (en el sentido de que no se exige que el autor sea una persona determinada) lo cierto es que es evidentemente recomendable que la redacte un profesional en la materia.

Del mismo modo que no dejarías que cualquiera te operase en un quirófano, tampoco debes dejar que cualquiera adapte tu página web a la legalidad, ya que una mala realización de la política puede acarrearte graves consecuencias.

En este sentido, quién ha de realizar la política de privacidad de tu empresa ha de ser, preferiblemente, una consultoría de protección de datos. Y es que estas consultorías se conforman por expertos en la materia que, con su conocimiento y profesionalidad, te garantizan la redacción de una política adecuada y completamente legal.

En este sentido, la importancia radica en acudir a profesionales, como procedemos a indicarte.

La importancia de acudir a profesionales

En definitiva, como habrás podido observar sin dificultad, la redacción correcta y legal de la política de privacidad de tu página web puede llegar a ser una tarea algo compleja, pero en todo caso obligatoria. Si no lo haces con pulcritud y perfección, puedes incurrir en ilegalidades que llevarán acarreadas fuertes sanciones.

Será aquí donde cobre relevancia la existencia de profesionales en el sector, lo que antes hemos denominado como consultoría de protección de datos. Si estás pensando en abrir una página web para tu empresa, o deseas adaptar a la nueva legislación una que ya tienes, será totalmente recomendable que acudas a este tipo de consultorías, que adaptarán tu página a la legalidad y, además, podrán ofrecerte defensa jurídica en caso de problema. Ahora ya sabes quién hace la política de privacidad en tu empresa con el RGPD para que ajustarte a la legalidad vigente.

imagen

¿Es ilegal comprar bases de datos?

Si hemos de contestar la pregunta directa que proponemos en el título de este post, que es en definitiva la que te haces normalmente, la respuesta es rotunda. Comprar bases de datos no es ilegal. Otra cosa distinta es que te preguntes si existen bases de datos con correos electrónicos que se pueden comprar y vender legalmente y las hay que no. La segunda pregunta que debes hacerte es qué características debe tener la composición de los datos que incluyen para permitirte realizar acciones con ellos.

Qué aspectos debes tener en cuenta

Ante el interés de utilizar datos que provengan de una fuente externa, como es una base de datos ya preexistente, te vamos a resumir las principales cosas que debes considerar. Estos tres aspectos que te destacamos van a definir el uso legal o ilegal por tu parte de esos datos.

Leyes que regulan la protección de datos personales

Existen tres reglamentaciones básicas que van a afectar a la legalidad del uso de los datos de estas bases de datos externas:

– La Ley de protección de datos, LOPD.

– LSSI que establece la regulación de los servicios de la sociedad de información y comercio electrónico.

RGPD que es el reglamento general de protección de datos adaptado plenamente a la normativa europea y que desarrolla la LOPD.

El principio del consentimiento expreso

En todas estas leyes se establece la obligatoriedad de que los datos que se manejan hayan sido obtenidos con el consentimiento expreso del interesado y conociendo quién los va a utilizar y para qué.

Esto ya presenta una primera dificultad si te planteas adquirir una base de datos externa, ya que todos los datos que incluyan han de reunir estas características.

En la realidad supone que todos los datos hayan sido recogidos con una autorización expresa de sus propietarios para que puedan ser utilizados por la empresa a la que se los han aportado y con consentimiento para ser utilizados por otras a las que se los cedan. Que en sus fines se haya expuesto claramente que los datos van a ser utilizados para mandarles informaciones de otras empresas que puedan ser de su interés.

Esto en realidad no es algo extraño. Seguramente tú mismo has visto muchas veces este tipo de consentimientos en los que te presentan la opción de autorizar una casilla en la que te exponen que si aceptas consientes en que te manden información de otros productos y compañías que te pudieran interesar. Algo perfectamente legal pues el consentimiento voluntario no obedece a más límites que los que tú quieras poner.

Los derechos del propietario de los datos

Las leyes que te hemos expuesto establecen una serie de derechos que la empresa que obtiene estos datos debe garantizar a todo propietario y que son de ejecución inmediata. Estos derechos son conocidos como derechos ARCO y garantizan al usuario el acceso inmediato a sus datos, la rectificación de los mismos, su inmediata cancelación o desaparición de la base de datos, su portabilidad o la limitación del uso de los mismos en cualquier momento.

Parece evidente que con unos plazos de respuesta que no superan normalmente los diez días para llevar a buen fin cualquiera de estas exigencias planteadas por el propietario legítimo de los datos es prácticamente imposible cumplirlas si esa base de datos se ha externalizado.

Ya solo si nos fijamos en el derecho de acceso vemos que este supondría la necesidad del conocimiento previo del propietario de los datos de cada ubicación de los mismos. Esto solo se podría hacer con una comunicación personal, efectiva y demostrable en cada ocasión de que sus datos van a ser incluidos en una base de datos que se venderá a un tercero.

Esto parece imposible en la práctica máxime si tenemos en cuenta que una base de datos puede incluir miles de propietarios. Además, quién cede estos datos y está obligado a su protección debe garantizarse que vayan a ser protegidos de igual forma por parte de quién los adquiere y, por tanto, del perfecto ajuste de este a las leyes y protocolos de seguridad que establecen.

 ¿Venta o alquiler de bases de datos con correos electrónicos?

Todo esto nos lleva a que la solución real para que estos datos puedan ser utilizados por terceros diferentes a los adquirentes no pasa por la venta de las bases de datos, sino por su alquiler.

En el caso del alquiler a través de servicios, los datos no salen en ningún momento de las responsabilidades y protocolos de la empresa matriz que los ha adquirido o recabado legalmente. De esta forma se garantizan perfectamente los derechos ARCO de los propietarios que, en definitiva, mantienen un solo interlocutor en este sentido.

La protección de datos personales queda garantizada de forma exhaustiva, ya que hemos de suponer que una empresa cuyo valor radica en lo que esas bases de datos le producen se preocupará de cumplir rigurosamente con todos los protocolos establecidos.

Así mismo, la empresa matriz será la que ha recabado esos datos y se habrá preocupado especialmente de obtener la autorización pertinente y expresa de sus propietarios para poder emplearlos en el envío de informaciones de terceros cuya información pudiera ser de interés para el propietario de los datos.

En qué consiste el alquiler de bases de datos

En realidad no podemos hablar de un alquiler de la base de datos en sí. Lo que hacen estas empresas es ofrecer servicios de e-mail marketing orientados a acciones estratégicas y sobre la efectividad de disponer de una importante cantidad de datos de usuarios recabados de forma legal.

Estos datos son segmentados para ti en función de tus objetivos y del público que realmente te interesa. Se confecciona así una base de datos personalizada y realizas acciones externalizadas por las que pagas una retribución.

Vender y comprar bases de datos no es ilegal, pero en la práctica se hace casi inviable por la extrema dificultad de favorecer los derechos ARCO que asisten a los propietarios de los datos. La posibilidad legal que sí puedes utilizar es la del alquiler o subcontratación de servicios con empresas especializadas. Aun en este caso te aconsejamos que te garantices del cumplimiento que la empresa que elijas hace de las leyes de protección de datos que afectan a la seguridad de su tratamiento y uso.

imagen

¿Has de proteger los datos personales también en WhatsApp?

El WhatsApp es un sistema de mensajería instantánea que forma parte de nuestras vidas y aunque lo habitual es utilizarlo con fines personales, también hay empresas que aprovechan su funcionalidad para rebajar costes. En este artículo te explicamos cuándo proteger datos personales con WhatsApp con la legislación actual, LOPD y el RGPD, quién se ha de encargar de esta gestión y cómo hacerla.

RGPD: Quién se ha de encargar de proteger los datos personales de WhatsApp

Podemos decir que la responsabilidad de proteger los datos personales de WhatsApp compete a cualquier persona o colectivo que los utilice fuera del ámbito estrictamente personal. Se considera que, en estos casos, sí hay un tratamiento de datos y que procede aplicar la legislación. Por lo tanto, da igual que seas un particular, que representes a una institución pública o que seas autónomo. La única variación está en el grado de protección que tienes que garantizar, que esa sí que variará en función de que el acceso a la información sea público o no.

La legislación a aplicar para el tratamiento de este tipo de datos es la LOPD, la LSSICE y el RGPD.

Cómo proteger datos personales de WhatsApp

Hay varias maneras de proteger datos personales de WhatsApp pero, como principio general, deberías seguir las pautas que dictan la LOPD y el RGPD. Podemos ofrecer algunos ejemplos prácticos para que veas cuán importante es evitar problemas y, sobre todo, para anticiparte a los demás.

1. Limitando la exposición de datos personales

En los grupos de WhatsApp es muy fácil que se expongan datos, imágenes o vídeos de terceros de los que no hay un consentimiento expreso como exige la legislación europea. En primer lugar, nunca deberías hacer eso si no se trata de imágenes de medios de comunicación. En segundo lugar, y si esto sucede por parte de un tercero, te recomendamos que como gestor del grupo elimines esa información e identifiques a la persona que la ha difundido para depurar responsabilidades. Finalmente, es importante que cuentes con sistemas de seguridad que minimicen estas amenazas.

2. Acotando la inclusión en grupos

La inclusión en el grupo ha de ser completamente voluntaria y, en buena lógica, has de solicitar autorización previa para incluir a la gente. Hemos de indicar que este punto es fundamental porque es suficiente con que una persona haya sido incluida sin su consentimiento para formar parte de lo que, a fin de cuentas, requiere de un tratamiento de datos personales.

Ya hay precedentes de ayuntamientos que han sido apercibidos por la AEPD y sancionados por utilizar el teléfono sin consentimiento. Otro caso es el de WhatsApp, que utilizaba datos de Facebook sin que los usuarios fueran conocedores de esta circunstancia.

3. Limitando el uso de datos personales

La LOPD ofrecía un margen de discrecionalidad alto para el tratamiento de datos, pero lo cierto es que el RGPD ha limitado las posibilidades y, como norma, si hay una duda sobre la captación de datos, deberías abstenerte. Además, hemos de recordar que el artículo 4.2 de la LOPD limita claramente los usos que puedes hacer de datos personales y solo puedes saltarte esta norma en caso de recopilar datos con interés científico, estadístico o por razones de interés general.

4. Elaborando un documento de consentimiento

Para que no tengas problemas con WhatsApp, te recomendamos que elabores un documento de consentimiento en el que la persona tendrá que notificar si esta de acuerdo en que sigan utilizando sus datos personales y en qué contextos. Como se trata de no dejar dudas, lo mejor es que indiques cuál va a ser el objeto del tratamiento de datos para que cuentes con una seguridad jurídica.

Cuándo proteger datos personales de WhatsApp

A la hora de proteger datos personales has de tener en cuenta lo siguiente: eres responsable desde el primer momento que realizas un tratamiento de datos. Por lo tanto, lo más lógico es que tomes medidas de carácter preventivo para evitar problemas derivados del desconocimiento de la normativa. Además, también estarás obligado a comunicar a la Agencia Española de Protección de Datos (AEPD) cualquier problema que tengas porque hoy el principio que prima es el de autorregulación.

En consecuencia, tienes que realizar labores de protección de datos antes, durante y después. De hecho, una de las obligaciones es la de respetar escrupulosamente lo que indican los derechos ARCO, incluyendo las novedades del RGPD. Si consideras estas cuestiones, comprobarás que este seguimiento no finaliza hasta que dejes de tener datos personales.

La experiencia nos indica que lo más práctico es tomar como referencia lo que indica el RGPD porque, siempre y cuando no sean conversaciones privadas, tiene la misma validez que si estuvieses gestionando un grupo de correo electrónico.

Por qué proteger datos personales de WhatsApp

Hay un motivo de peso para proteger los datos personales de WhatsApp, las sanciones a las que te expones en caso de que no lo hagas. Por ejemplo, el Reglamento Europeo de Protección de Datos las ha endurecido hasta el punto de que podrían alcanzar los 20 millones de euros o el 4 % de la facturación de las empresas. Por lo tanto, ponerte al día es ya una cuestión patrimonial porque, de lo contrario, tendrás problemas y no es necesario que recordemos cuán importante es esta cuestión en los tiempos que corren.

Otra cuestión igualmente importante es que la difusión de determinados datos personales sensibles podría, incluso, tener consecuencias penales, tanto si son a nivel privado como si son públicos. Si se demuestra que ha habido una imprudencia evidente, es posible que tengas que responder ante los tribunales. De manera que como idea primaria es mejor que evites tener estos problemas.

Conclusión

Tener una idea clara de cuándo proteger datos personales de WhatsApp es interesante porque prevendrás situaciones embarazosas. En cualquier caso, siempre que realices un tratamiento de datos masivo lo mejor es que cuentes con un asesoramiento especializado. En clickDatos contamos con todo lo necesario para ponerte al día y realizar una gestión de datos personales eficiente con garantías.

imagen

¿Qué tramites has de realizar para cumplir el RGPD en WordPress?

La entrada en vigor del Reglamento General de Protección de Datos que se dio el pasado 25 de mayo de 2018 ha provocado la necesidad de adaptar las plataformas digitales a la nueva ley. Por este motivo, en este artículo vamos a explicarte cómo adaptar tu WordPress al RGPD. 

Si bien es cierto que hay mucha información acerca de los cambios que implica el nuevo marco legal, pocas veces se expone con claridad qué es lo que hay que cambiar en los ecommerce y páginas web de WordPress. Y mucho menos cómo hacerlo apropiadamente. Así pues, a continuación te damos toda esta información.

Reglamento Europeo de Protección de Datos: por qué atañe a WordPress

Independientemente de que tu página de WordPress realice una actividad comercial o no, esta recopila datos de los usuarios y por ello debe ceñirse a la nueva ley. En cualquier caso, para que te quede más claro en qué mecanismos se recogen datos, vamos a exponerte una lista de los mismos.

– Registro de usuarios: cuando creas una comunidad de varios miembros, por ejemplo.

– Sistema de comentarios: esta plataforma exige dar unos datos para comentar, por tanto, implica la adaptación a la ley.

– Formulario de contacto: los usuarios dan sus datos para contactar y se debe cumplir con las leyes referentes a esto.

Formulario de suscripción a boletines de noticias: si ofreces una newsletter aunque no vendas nada tendrás que adaptarte a la ley de protección de datos.

– Uso de sistemas de analíticas.

Cookies de terceros y de la propia web.

– Enlaces afiliados.

– Proveedor de herramienta de email.

– Google Analytics.

– Pixel de Facebook.

– Anuncios de Adsense.

– Servicio Cloudflare.

Logs de tu proveedor de hosting.

Por último, has de tener en cuenta estos tres plugin que también podrían afectar a la recogida de datos personales:

– Google fonts.

– Yoast SEO.

– Star Rating.

¿Cómo adaptar WordPress a la LOPD?

A continuación te explicamos ocho factores que has de tener en cuenta para estar en consonancia con la Ley Orgánica de Protección de Datos y evitar problemas legales.

1. Notificación a usuarios

Debes notificar a todos los usuarios que recogerás sus datos a través de un mensaje conciso y claro que puedan entender fácilmente. Por otro lado, también debes informar de que en cualquier momento pueden revocar este consentimiento.

En este aviso debes incluir los datos del responsable del tratamiento, por qué se recopilan, el tiempo de almacenamiento, quién tendrá acceso y para qué y, por último, qué datos se almacenarán.

2. Consentimiento explícito

Una vez que creas el documento informativo, debes asegurarte de que el mecanismo para aceptarlo sea explícito. Es decir, nada de casillas premarcadas ni de aceptaciones por omisión. El usuario debe llevar a cabo una acción para aceptar los términos.

3. Impedimento de recogidas no autorizadas de datos

Para evitar que terceros se hagan con información personal de tus usuarios sin consentimiento, deberás llevar un registro de recolección de los datos personales así como una recopilación de los datos no autorizados. 

En base a esto, tú serás el responsable de asegurar la seguridad de los mismos. Ante esto, lo ideal es acudir a expertos para someterte a una auditoría.

4. Organización y accesibilidad de los datos

Debido al derecho al olvido y la cláusula de Portabilidad de Datos que ha impuesto el Reglamento Europeo de Protección de Datos, tendrás que tener los datos de cada usuario accesibles para poder enviárselos si te lo requiere. Además de, claro está, para suprimirlos si así lo deseara.

5. Soluciones de gestión a sus peticiones

Lo ideal es que habilites un formulario para solicitar la retirada o visualización de los datos que hayas almacenado. Esto es imprescindible para asegurar el respeto a los nuevos derechos de los internautas.

6. Avisar de las brechas de seguridad

Avisar de las brechas de seguridad es una obligación de los responsables de las webs. Esto deberás hacerlo de cara a los usuarios afectados y a la Agencia Española de Protección de Datos, en un plazo máximo de 72 horas tras la sucesión del problema.

Por tanto, tendrás que tener un mecanismo apropiado para detectar estas incidencias.

7. Cuidado con los plugins

Tú, como propietario de la web, serás el último responsable de la recopilación de datos de los plugins que usas en tu WordPress. Así pues, deberás estudiar sus condiciones para asegurarte de que todo sea legal.

8. Consentimiento automático

Si utilizas WooCommerce u otras plataformas para la creación de ecommerce tendrás que asegurarte de que en todos los consentimientos la opción predeterminada sea opt-in y no opt-out. 

De lo contrario, podrías incurrir en una ilegalidad.

Cómo adaptar WordPress al RGPD: acciones a realizar

En este epígrafe te detallamos las 4 acciones principales que debes realizar si quieres adaptar tu página a la legalidad.

1. Textos legales

Debes incluir páginas de:

– Aviso Legal.

– Términos y Condiciones.

– Política de Cookies.

– Formularios de contacto y comentarios.

En todas ellas tendrás que aportar la información relevante que se corresponda con tu actividad. Lo ideal es que estos documentos los redacten expertos en la materia

2. Actualización de tus suscriptores

Deberás enviar un email a tus suscriptores para que renueven su consentimiento de suscripción. De no hacerlo, estarías recopilando sus datos de manera ilegal.

3. Recolección, almacenamiento y procesamiento de la información

Todos estos mecanismos deben estar adecuados a lo estipulado en el RGPD. Por ello, tendrás que adaptar tus formularios de suscripción, de contacto, comentarios y aplicar las herramientas necesarias para respetar los nuevos derechos de los internautas.

4. Estudia a otras páginas y toma notas

Por último, debemos destacar que no estaría de más observar a otras páginas similares a la tuya para darte ideas acerca de cómo puedes recabar la información. Esto puede ser muy interesante para obtener otro punto de vista en tu camino de adaptación a la nueva ley.

Así pues, no lo dudes más y estudia qué es lo que hace la competencia. Quizás obtengas información útil para tu web.

Ahora que conoces toda esta información, espero que tengas más claro cómo adaptar tu WordPress al RGPD y que lo lleves a cabo de la forma más sencilla y adecuada posible.

imagen

¿Quién es, en cada situación, el responsable de los datos personales?

Sabemos que muchas veces es difícil saber quién es el responsable de los datos personales según el RGPD. Es importante aclarar el concepto, ya que es una figura que suele confundirse con el encargado muy a menudo. Por ello, lo primero que queremos es que conozcas al protagonista de este post.

El responsable de datos personales en el RGPD

El responsable de datos personales en el RGPD es una persona física o jurídica, o bien una autoridad pública. También puede serlo un servicio u otro organismo que ya sea solo, o junto con alguno de los anteriores que te hemos mencionado, determina cuáles son los fines y los medios del tratamiento de los datos.

No obstante, debemos hacer un matiz sobre este concepto. El derecho de la Unión Europea de los Estados Miembros es el que determina cuáles son los fines y los medios del tratamiento. Por otro lado, los criterios para nombrar al responsable de tratamiento podrá establecerlos tanto el derecho de la UE, como el de los Estados Miembros de la misma.

Por otro lado, debemos aclarar que la definición de la figura del responsable del tratamiento deja clara cuál es la diferencia con el encargado del tratamiento. No obstante, por si acaso te queda alguna duda, te la aclaramos: el encargado tan solo se limita a tratar la información personal por cuenta de aquel.

Es decir, que será el responsable y no el encargado, el que tome las decisiones sobre el tratamiento de datos personales, exceptuando tan solo aquellas que se tomen por cuestiones técnicas y organizativas. Pues estas últimas puede delegarlas el responsable.

También es fundamental que tengas en cuenta que el hecho de que exista un encargado de tratamiento depende enteramente de la decisión del responsable. El responsable decidirá si trata los datos personales él solo por sí mismo o si preferirá encargar dicho tratamiento a otra persona, ya sea esta física, jurídica o incluso ajena a la empresa u organización del responsable.

¿Quién es el responsable de los datos personales en cada situación?

Como has podido ver, el Reglamento (UE) 2016/679 establece que puede ser tanto una persona física como una jurídica o una Administración Pública. Pero ¿no te parece una definición demasiado amplia? Si solo nos basamos en ella, ¿cualquier persona física o jurídica que decida una cuestión sobre cómo tratar datos personales será responsable del tratamiento?

La respuesta es que no. El papel fundamental que tiene un responsable de tratamiento es establecer quién asume la responsabilidad de cumplir las normas sobre protección de datos. También, determinar de qué forma pueden los interesados ejercer sus derechos en la vida práctica. Es decir, de acuerdo con el Reglamento Europeo de Protección de Datos, el responsable es quien designa la responsabilidad.

Cuando es responsable de datos una persona física

Una persona física puede ser responsable de datos cuando no se le puede aplicar una excepción por ser de uso doméstico. Es decir, imagina una agenda de contactos. Podría ser también de uso doméstico, por lo que no es posible que sea la persona física la responsable del tratamiento.

Cuándo es responsable de datos una persona jurídica, autónomo o Administración Pública

No hay demasiadas limitaciones para este tipo de responsables del tratamiento. Según el RGPD, cualquiera de estas tres figuras: autónomo, Administración Pública o persona jurídica, pueden ser responsables del tratamiento prácticamente siempre.

El Reglamento Europeo de Protección de Datos (RGPD) aplicado a responsables fuera de la UE

Hay una importante cuestión que debes tomar en consideración. Nos referimos a los límites en el ámbito de aplicación del RGPD. Con carácter general, el reglamento se aplicará al tratamiento de datos personales dentro del ámbito de las actividades de un establecimiento que pertenezca al responsable del tratamiento, según el artículo 3. Es decir, que no importa que el tratamiento se dé en la Unión Europea o no, el RGPD será aplicable.

Lo fundamental es que prestes atención a dónde se encuentra el establecimiento del responsable del tratamiento y no el lugar concreto donde se traten los datos. La razón es que el lugar del establecimiento es lo que determina que el RGPD sea aplicable.

Incluso en aquellos casos en los que el responsable acude a otro encargado de tratamiento y este último no esté establecido dentro del territorio de la Unión Europea, pues ten en cuenta que el establecimiento del responsable sí está en dicho territorio. No obstante, lo que si debemos aclararte es que el supuesto que acabamos de ponerte, supondría una transferencia internacional de datos.

El establecimiento del responsable

El establecimiento del responsable del que te acabamos de hablar es un concepto que también es necesario aclarar. Un establecimiento implica el ejercicio de una actividad de forma real, efectiva y mediante modalidades que sean estables. No importa que dichas modalidades sean filiales con personalidad jurídica o sucursales, pues no es este el factor fundamental que tenemos que tomar en consideración.

Por otro lado, si el responsable del tratamiento se encontrara establecido en diferentes Estados Miembros, debemos atender a cuál es su establecimiento principal para determinar el ámbito de aplicación del RGPD. Por establecimiento principal entendemos que es el lugar donde lleve a cabo su administración central dentro de la Unión Europea.

La excepción es que las decisiones sobre los objetivos y los medios del tratamiento de dato se tomen en un establecimiento diferente, el cual tenga la capacidad de hacer ejecutar dichas decisiones. En este caso, debemos entender que se trata de este el establecimiento principal.

Para finalizar, te vamos a contar dos supuestos en los que el RGPD resulta aplicable a un responsable aunque no se encuentre su establecimiento dentro del ámbito de la Unión Europea. Es el caso al que se refiere el artículo 3 del RGPD. En su apartado dos establece que el RGPD será aplicable a aquellos tratamientos que se relacionen con la oferta de bienes o servicios a interesados en la UE, sin importar si a estos al final se les requiere o no un pago).

En conclusión, para saber quién es el responsable de los datos personales hay varios criterios que puedes aplicar. Además, esta información debe ser transparente para las personas físicas que quieran ejercitar sus derechos contenidos en el Reglamento Europeo de Protección de Datos.

imagen

¿Cómo se protegen los datos en los medios de comunicación?

Saber cómo se protegen datos en los medios de comunicación RGPD es fundamental para evitar problemas y demandas. En realidad, la protección de datos ya se aplica desde hace varias décadas en este ámbito, pero con el advenimiento de nuevas normativas como el RGPD se ha reforzado esta cuestión. En el artículo te explicamos los puntos que has de considerar para no tener problemas y hacemos un recorrido histórico por las distintas normativas que ha habido en nuestro país.

Protección de datos en Mass Media

El primer texto legislativo que hablaba de protección de datos Mass Media, derivada como intimidadderecho al honor y a la propia imagen fue la Constitución Española de 1978, concretamente en el artículo 18. En la práctica, este aspecto ya limitaba la información que se podía difundir de menores de edad o personas no condenadas por sentencia firme. Únicamente en determinados casos había la posibilidad de incluir la información de un criminal convicto antes del juicio o hablar de la situación procesal de personajes públicos, caso de los políticos o cantantes.

Ahora bien, cuando hablamos de protección de datos, solemos referirnos la mayoría de las veces a la gestión que hacemos de estos y la presencia de Internet ha hecho que aumente la complejidad de las interacciones entre el medio, los usuarios y la sociedad. El Reglamento Europeo de Protección de Datos es un desafío para todos los medios de comunicación y saber qué aspectos conviene trabajar es fundamental para que no haya contratiempos en el futuro.

Cómo se aplica el RGPD a los medios de comunicación

Has de tener en cuenta que, cuando los medios de comunicación interactúan con el usuario, ya están recopilando una información a través de las cookies; eso genera un tratamiento de datos. Otro aspecto igualmente importante está en aquellos formularios de membresía que se solicitan para una inscripción a un servicio de pago o, simplemente, para ofrecer información. En estos casos, te conviene tener en cuenta los siguientes aspectos:

1. Diferencias entre las legislaciones nacionales: la LOPD como referencia

El RGPD indica expresamente en su artículo 85 la posibilidad de que los Estados legislen de oficio para delimitar las fronteras entre el derecho a la información y expresión y la necesaria salvaguarda de la protección de datos personales. Ahora ben, sí se indica claramente que la protección de datos no tiene por qué prevalecer siempre frente a la libertad de expresión y que hay determinados casos en los que se podría realizar una recogida de datos sin consentimiento por motivos de interés general.

Esto significa que la LOPD tiene una importancia capital a la hora de determinar cuáles son los límites a la libertad de expresión para salvaguardar derechos individuales. ¿Y qué nos dice? Básicamente, que si accedes a una base de datos pública o a una fuente de información pública, no tendrás ningún problema para recabar la información. El tratamiento de determinados datos sin consentimiento como los que contienen los sumarios judiciales, los registros mercantiles o los referentes a miembros de administraciones públicas se pueden utilizar.

Eso sí, siempre tendrás que tener presente que la utilización extraordinaria de datos personales tiene que justificarse en motivos de interés informativo. Por ejemplo, difundir datos acerca del domicilio de una persona si no hay una razón que lo justifique estará violando la normativa, aunque se trate de personajes públicos. En este sentido, los códigos deontológicos de periodismo suelen ser la guía para evitar problemas que podrían derivar en sanciones por parte de la AEPD y de los tribunales de justicia ordinarios.

Has de saber que hay elementos que contempla el RGPD que no se pueden incluir en este caso. Por ejemplo, el denominado derecho al olvido no se aplicaría porque entra en colisión con el derecho a la información; en consecuencia, no hay posibilidad de solicitar la eliminación de determinados datos.

2. Consentimiento explícito de los usuarios

Cuando no se trata de recopilar datos para una investigación sino, más bien, de recabarlos para otros menesteres comerciales, tienes que aplicar el principio del consentimiento explícito por parte del usuario. Por lo tanto, tienes que preparar tus formularios de aceptación para que puedan recibir información o navegar con la presencia de cookies. Ambos aspectos serán fundamentales para que, a la larga, no tengas ningún problema.

Además, recuerda que tienes la necesidad de indicar la finalidad del tratamiento de los datos, de manera que la previsión se convierte en un elemento fundamental. En la práctica, cuando trates con un cliente vas a tener que aplicar las mismas medidas que cualquier otra empresa y, por esa razón, te interesa estar al día de las exigencias que te marca la legislación.

3. Autorregulación

La autorregulación es una condición sine qua non de la RGPD y que supone un cambio cualitativo con respecto a la LOPD. Los medios de comunicación suelen tener servidores grandes y una cantidad elevada de archivos que tienen que gestionar. Piensa que, con la actual legislación, tendrás que nombrar a un DPO (Delegado de Protección de Datos) que supervise el cumplimiento de la misma y que, en caso de incidencia, tienes que avisar a la AEPD en un máximo de 72 horas.

Una parte buena es que ya no tienes que enviar continuamente informes a la AEPD como antaño porque el RGPD sobreentiende que ya te vas a dedicar tú de estas cuestiones. Por lo tanto, vas a tener que dedicarle más atención a este aspecto para anticiparte.

Conclusión

Una vez que sepas cómo se protegen datos medios de comunicación RGPD, te conviene implementar las medidas con una consultoría de confianza que te ofrezca garantías. En consecuencia, te animamos a que conozcas mejor todo lo que podemos hacer por ti en clickDatos. Estamos convencidos de que a largo plazo te cundirá porque sabrás qué puedes hacer y qué no, captando información cuando sea lícita y gestionando con profesionalidad las relaciones con los usuarios. Evitar sanciones millonarias de hasta el 4 % de la facturación o 20 millones de euros es una motivación lo suficientemente poderosa.

imagen