¿Están los autónomos obligados a cumplir con el reglamento LOPD?

AVISO IMPORTANTE

Desde el pasado 25 de Mayo de 2018, entró en vigor la aplicación del nuevo Reglamento General de Protección de Datos (RGPD) que modifica varios aspectos de la Ley de Protección de Datos del año 1995. Por lo tanto esta entrada podría estar desactualizada.

Ver las novedades del RGPD >>

Si tiene alguna duda o desea información personalizada, póngase en contacto con nosotros y estudiaremos su caso.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal tiene por objetivo asegurar la protección y el buen tratamiento de los datos de las personas físicas. Los trabajadores por cuenta propia o las pymes deben cumplir con el reglamento LOPD cuando, en su actividad empresarial, recopilen información y datos de carácter personal. Es decir, cuando obtengan datos que identifiquen a las personas físicas. Pueden ser los clientes, el personal contratado o cualquier otro individuo que tenga alguna relación con la empresa y del cual se haya recabado información personal.

¿Para qué sirve la Ley Orgánica de Protección de Datos?

Esta ley, como su propio nombre indica, quiere proteger la información de las personas. Así pues, toda empresa o entidad que necesite contar con este tipo de datos se hace responsable de su archivo y tratamiento. Deberá responsabilizarse de la inscripción de ficheros ante el Registro General de Protección de datos, de que los datos sean verdaderos, de que no se revelen y de que los usuarios puedan tener acceso a los mismos si así lo desean, ya que están en su pleno derecho legal.

Consultoría LOPD: ¿qué tipos de datos hay?

Con arreglo a la ley, existen tres niveles de datos: básico, medio y alto. Aumentan según el grado de sensibilidad. Los datos básicos son los que corresponden a: nombre, apellidos, Documento Nacional de Identidad, número de la Seguridad Social, teléfono fijo o móvil, firma, dirección de correo electrónico, matrículas de vehículos y otras informaciones similares. Los datos de nivel medio son los que contienen, por ejemplo, infracciones penales, datos tributarios y administrativos o información referente al carácter, a la personalidad o a los gustos de los usuarios. Por último, en el nivel superior, nos encontraríamos con los datos relativos a religión y  creencias, ideologías, salud, origen étnico, violencia de género y vida sexual. Si una empresa cuenta con datos de cualquiera de estos dos últimos niveles, estará obligada a someterse a auditorías al menos una vez cada dos años, para asegurar la confidencialidad y calidad de su tratamiento.

¿Qué implicaciones tiene la LOPD para autónomos?

El autónomo debe preocuparse de que su actividad y negocio cumplan con todos los requisitos legales. Dependiendo del tipo de labor que se lleve a cabo, estas exigencias serán unas u otras. No es lo mismo un autónomo cuyos clientes son solo empresas (que, por tanto, no disponen de datos de personas físicas) que el trabajador por cuenta propia que atiende a particulares. Veamos los tres casos que pueden darse.

1. Autónomos con empleados a su cargo

Si tienes empleados, entonces eres el responsable del tratamiento de sus datos. Por tanto, estás obligado a cumplir con la Ley Orgánica de Protección de Datos. Además de esto, es probable que tengas datos de clientes que también requieran la implantación de la ley. Recuerda los niveles que existen, ya que, si cuentas con datos del segundo, deberás someterte a auditorías.

2. Autónomos sin empleados a su cargo

En este caso, lo que hay que tener en cuenta es si el tipo de actividad económica requiere que recabes datos e información personales de individuos y estos datos se deben guardar en ficheros o no. De no ser así, lo más probable es que no estés sujeto al cumplimiento de la LOPD. Ahora bien, si tus clientes son particulares, probablemente, sí estés obligado a cumplir su normativa, ya que lo normal es que hayas obtenido algunos de sus datos personales, aunque pertenezcan al primer nivel.

3. Autónomos socios de una empresa S. L. o S. A.

En este caso, es la empresa la que debe encargarse de velar por la satisfacción de la ley. En todo caso, tu responsabilidad será encargarte, como socio y administrador, de que esta cumpla con ella. Es decir, la responsabilidad no es directamente tuya, como lo sería si fueras un trabajador por cuenta propia, sino que es de la empresa como tal. Tú deberás cumplir con tu obligación con la empresa.

¿Qué debo hacer para cumplir con la LOPD?

Para cumplir con la Ley Orgánica de Protección de Datos, has de llevar a cabo ciertos trámites ante la Agencia Española de Protección de Datos, que es el organismo institucional que vela por el cumplimiento de esta ley y se encarga de garantizar la protección de los datos y los derechos de sus poseedores. Los trámites que has de realizar son los siguientes: identificación de ficheros que contengan información personal, identificación de su nivel de seguridad, identificación de su administrador, formación del responsable, información a los dueños de los datos e inscripción de los ficheros en el Registro de la Agencia Española de Protección de Datos.

Puedes optar por hacer los trámites de manera personal, pero es mucho más recomendable dejarse asesorar por expertos en consultoría LOPD. Los trabajos burocráticos siempre son complejos y el coste de hacerlos mal es muy superior al de los honorarios de un especialista. Si queremos cumplir con la Ley Orgánica de Protección de Datos, es altamente recomendable que nos dejemos asesorar por un experto. Lo mejor es no arriesgarse, ya que, en caso de infracción, se puede aplicar una sanción que va desde 900 €, en las irregularidades más leves; hasta 600.000 €, en las situaciones más graves.

Además de las complicaciones económicas que puede suponer incurrir en complicaciones respecto a la normativa, has de calcular otro coste, el de la mala imagen empresarial que puede producir el hecho de no cumplir con la legislación vigente. En especial, en un tema tan sensible como la protección de datos personales. Conseguir clientes ya es suficientemente dificultoso como para añadirle un obstáculo más. Así pues, cumplir el reglamento LOPD es imprescindible para que nuestra actividad se encuentre dentro del marco legal y gocemos de una imagen laboral seria y fiable para todos nuestros interlocutores. Es una de las facetas del negocio en las que vale la pena poner toda la carne en el asador y asegurarse al 100 % de que todo se hace correctamente.

Cómo regula la LOPD la protección de los datos utilizados en el cloud computing

AVISO IMPORTANTE

Desde el pasado 25 de Mayo de 2018, entró en vigor la aplicación del nuevo Reglamento General de Protección de Datos (RGPD) que modifica varios aspectos de la Ley de Protección de Datos del año 1995. Por lo tanto esta entrada podría estar desactualizada.

Ver las novedades del RGPD >>

Si tiene alguna duda o desea información personalizada, póngase en contacto con nosotros y estudiaremos su caso.

Es cada vez más frecuente que las empresas decidan almacenar información online vinculada con sus actividades o se decanten por emplear herramientas informáticas de gestión a través de la Red. Debido a la creciente necesidad de gestionar las actividades de los negocios por medio de Internet, surgió el denominado cloud computing.

La computación en la nube (cloud computing) es un sistema informático en el que la información se encuentra en la Red, almacenada en servidores que, habitualmente, están controlados por una tercera entidad prestadora del servicio. Los usuarios podemos acceder a la información mediante una interfaz o aplicación y tenemos la posibilidad de compartir recursos con el resto de usuarios.

Es habitual que esta serie de datos se encuentre en servidores que permiten el acceso desde diferentes dispositivos y plataformas, siendo la empresa prestadora del servicio la que controla el acceso, el uso o la modificación de la información.

Ante esta situación, son muchos los que se han quejado acerca del uso de estas tecnologías, puesto que conlleva que los datos puedan llegar a manos no deseadas. Por tanto, no es extraño que algunos gobiernos prohíban a los funcionarios usar este tipo de servicios en la nube, en especial, tras los escándalos de espionaje internacional que se han dado.

LOPD en el cloud

La empresa que contrata este tipo de servicios en la nube es responsable de los ficheros que utiliza, por lo que la contratación de un proveedor de servicios en la nube deriva en un presunto tratamiento de datos llevado a cabo por terceros, lo cual está contemplado en la LOPD. De ese modo, el correspondiente prestador de estos servicios de cloud computing adquirirá el papel de encargado del tratamiento; y, en virtud de esta figura, su deber será el cumplimiento de todas las obligaciones que recoge el artículo 12 de la LOPD, así como a partir del 20 del RLOPD.

Esto supone que se habrá de instaurar un contrato de tratamiento de datos entre la empresa cliente y el proveedor del servicio en la nube que incluya las cláusulas que establecen las condiciones de acceso a la información.

Asimismo, en determinados servicios, el intercambio de información puede ser estimado como una transferencia internacional de datos, en el caso de que el intercambio se realice en un país ajeno al espacio económico europeo. Estas transferencias deben estar autorizadas por el director de la agencia deprotección de datos. No obstante, existen algunas excepciones, por ejemplo, si el país de destino es miembro de la Unión Europea (UE) o se trata de un país en el que la Comisión Europea establezca que se cumple con los requisitos en materia de seguridad y protección de datos. El incumplimiento de estos requerimientos puede traducirse en multas que alcanzan los 600.000 euros, algo a tener en consideración a la hora de utilizar este tipo de servicios en la nube.

Protección de datos en España

Vamos a enfocarnos en el caso concreto de España, donde hay establecida una serie de normativas y leyes que deben aplicarse en el ámbito de la protección de datos en la nube. Por tanto, trataremos la Ley Orgánica de Protección de Datos(LOPD), antes mencionada, y la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSICE).

Consultoría LOPD

La LOPD controla las cuestiones relativas al tratamiento de la información personal y a su libre circulación. En este sentido, la Agencia Española de Protección de Datos (AEPD) es el organismo de control encargado de garantizar el cumplimiento de la normativa.

Si la empresa que vamos a contratar va a trabajar con datos personales, ha de cumplir con una serie de condiciones que establece la LOPD:

– Inscripción de los ficheros.

– Obligaciones relacionadas con la información en la recogida, la calidad y el consentimiento de los datos.

– Garantizar los derechos ARCO: Acceso, Rectificación, Cancelación y Oposición.

– Adopción de medidas de seguridad.

En el caso de que los datos no sean personales, la LOPD no establece ninguna clase de requisito. Los datos no personales pueden ser cálculos físicos, fórmulas químicas u operaciones matemáticas, por citar varios ejemplos.

LSSICE

Las empresas y compañías que se dedican a asuntos relacionados con el cloud computing son prestadoras de servicios vinculadas a la sociedad de la información, por lo que deben cumplir los diferentes requerimientos marcados por la LSSICE (Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico).

Por tanto, de acuerdo con esta ley, los proveedores de servicios relacionados con la nube deberán informar a sus usuarios de manera sencilla, gratuita y directa sobre las siguientes cuestiones:

– Los medios utilizados para garantizar e incrementar la seguridad de los datos de los clientes, como antivirus, sistemas de antiespionaje y filtros de correo electrónico, en el caso de que fueran necesarios.

– Las correspondientes medidas de seguridad que se aplican con el servicio prestado.

– Las herramientas habilitadas para el filtro y la restricción del acceso a contenidos determinados y servicios de Internet no deseados por el usuario.

– Las consecuencias por las cuales es posible incurrir en la utilización ilícita del servicio.

De todo lo dicho y las consideraciones que contiene la guía de la AEPD, podemos concluir recordando que, si bien los prestadores de servicios en la nube tienen ante ellos la oportunidad de ofrecer unos servicios novedosos, rápidos y muy competitivos, no deben pasar por alto que, si sus clientes están sometidos a la normativa española de protección de datos, ineludiblemente, tendrán que revisar sus contratos, para comprobar el cumplimiento correcto de las diferentes obligaciones que se exigen.

En esencia, los requerimientos son los que a través de estas líneas hemos destacado, sin olvidarnos de que, en caso de no aplicar las obligaciones exigidas, habrá que informar a los clientes; puesto, en caso de omisión, la responsabilidad de cualquier tipo de infracción no solo repercutirá en el cliente, sino también a la propia entidad prestadora de servicios en la nube.

Además de que los proveedores están obligados a notificar a los clientes cualquier incidencia relacionada con la información que tienen en la nube, si los usuarios deciden concluir la relación contractual con el proveedor de cloud computing, este deberá entregar todos los datos de manera segura. Recuerda que un servicio de consultoría LOPD puede resolverte cualquier duda relacionada con el adecuado tratamiento de datos personales.

El deber de informar en la Ley Orgánica de Protección de Datos Personales

AVISO IMPORTANTE

Desde el pasado 25 de Mayo de 2018, entró en vigor la aplicación del nuevo Reglamento General de Protección de Datos (RGPD) que modifica varios aspectos de la Ley de Protección de Datos del año 1995. Por lo tanto esta entrada podría estar desactualizada.

Ver las novedades del RGPD >>

Si tiene alguna duda o desea información personalizada, póngase en contacto con nosotros y estudiaremos su caso.

El deber de informar que alcanza a los responsables del tratamiento de datos personales ha sido siempre un punto clave en la normativa sobre este tema. Con ocasión de las recientes modificaciones en su regulación, te contamos en qué consiste este deber, cómo debe ser cumplido y de qué tratan las últimas novedades reglamentarias.

Nociones básicas del deber de informar en la Ley Orgánica de Protección de Datos Personales (LOPD)

Todas las personas físicas a las que se les soliciten datos de carácter personal tienen el derecho de conocer, con anterioridad o posterioridad a la recogida de los datos, determinadas circunstancias relativas al tratamiento de estos.

Este derecho de información, previsto en el artículo 5º de la Ley Orgánica de Protección de Datos Personales (LOPD), tiene su reverso en el deber de información que recae sobre los responsables.

En efecto, toda persona física o jurídica responsable del tratamiento de datos de carácter personal tiene la obligación de informar a los interesados acerca de ciertas cuestiones básicas relacionadas con la recopilación y el uso final de esos datos.

De esta manera, la LOPD establece que se debe informar a los interesados: (i) que sus datos personales formarán parte de un fichero, la finalidad específica de la recogida de los datos personales y los destinatarios de la información; (ii) del carácter obligatorio o facultativo de responder a las preguntas que les sean realizadas; (iii) de las consecuencias de la obtención de los datos o la negativa a aportarlos; (iv) y de la identidad y dirección del responsable del tratamiento de los datos o, en su caso, del representante de este.

¿Cuándo se hace efectivo el deber de información?

Se establece una diferenciación según si los datos son, directamente, recabados de la persona interesada o no.

Así, cuando los datos se obtienen del propio interesado, el deber de información se cumple en el acto. Es decir, en el momento en el que se solicitan los datos de la persona.

En algunas ocasiones, puede haber recopilación de datos que no provengan de la persona interesada. Por ejemplo, cuando provienen de fuentes de acceso público. En tal caso, el deber de información del responsable debe cumplirse dentro de un plazo razonable; pero, en todo caso: (i) dentro del primer mes desde que se recogieron los datos, (ii) en la primera comunicación con el interesado o (iii) antes de que los datos sean comunicados a los destinatarios.

¿Cómo se cumple el deber de informar?

En realidad, hay tantos medios como mecanismos para recopilar datos. Por ejemplo,  a través de formularios en papel o en páginas web, en comunicaciones telefónicas o por correo postal. Lo importante es que la información se cumpla en un lenguaje claro y fácil de entender.

Hay ocasiones en las que no es obligatorio que el responsable cumpla con su deber de información, puesto que el interesado ya dispone de ella. Esta situación también se da ante casos en los que los datos no provienen del interesado, cuando la comunicación fuese imposible o demande un esfuerzo exagerado, cuando el registro o la comunicación de los datos estén expresamente establecidos por las leyes de la Unión Europea o sus Estados miembros o cuando los datos deban mantener su carácter confidencial.

Las novedades del RGPD al respecto de la información

En junio de 2016 entró en vigencia el nuevo Reglamento General de Protección de Datos (RGPD), aprobado por el Parlamento y Consejo Europeo con la finalidad de establecer estándares comunes para los Estados miembros.

El RGPD contiene ciertas disposiciones que complementan (pero no contradicen) lo establecido por la legislación española, en cuanto al deber de información, entre otras cuestiones de importancia.

El contenido del deber de información

Ya hemos visto las previsiones de la LOPD, en cuanto al contenido de la información a la persona interesada. Con el nuevo RGPD, se añaden nuevos contenidos:

1. La información de contacto del Delegado de Protección de Datos. Vale aclarar que el delegado es una figura creada por este nuevo Reglamento. Se trata de una persona con conocimiento de la legislación sobre datos personales y que actuará de forma independiente a la agencia de control.

2. La legitimación o base jurídica para el tratamiento de los datos.

3. El plazo o los criterios para la conservación de los datos.

4. La existencia de decisiones automatizadas o elaboración de perfiles con los datos personales.

5. La posibilidad de transferencia de la información a otros países.

6. El derecho que asiste al interesado de presentar una reclamación ante las autoridades competentes.

Asimismo, cuando los datos no se obtienen directamente del interesado, se debe informar de su origen y las categorías.

La necesidad de adaptarse

Estas novedades del RGPD significan que los responsables del tratamiento de datos deberán adaptar los procedimientos o modelos de recopilación de datos diseñados de acuerdo a la LOPD.

Se recomienda hacerlo con anterioridad a la fecha de plena aplicación del RGPD: 25 de mayo de 2018.

Además, para cumplir con las nuevas directivas europeas, las autoridades responsables de la aplicación han aconsejado adoptar un modelo de información por niveles o “capas”.

Así, en un primer nivel, se presenta una información básica y resumida, en el momento en el que se recopilan los datos. Luego hay un segundo nivel con información más detallada, que se comunica al interesado en un medio más adecuado para su comprensión y, si quiere, su archivo.

Veamos la cuestión con algunos ejemplos. Sabemos que el deber de información exige identificar al responsable del tratamiento. En el primer nivel de información, solamente se indica la identidad del responsable. En la información adicional (o segundo nivel), se van a mencionar los datos de contacto del responsable, la identidad y los datos de contacto de su representante y los datos de contacto del delegado de protección de datos.

Lo mismo ocurre con el resto de los contenidos: finalidad y legitimación del tratamiento, destinatarios de posibles cesiones, derechos de los interesados y procedencia de los datos.

Para mayor información sobre el deber de informar y las novedades del RGPD, sugerimos revisar las guías oficiales de la Agencia Española de Protección de Datos.

¿Cuál es la esencia del registro de actividades de tratamiento?

AVISO IMPORTANTE

Desde el pasado 25 de Mayo de 2018, entró en vigor la aplicación del nuevo Reglamento General de Protección de Datos (RGPD) que modifica varios aspectos de la Ley de Protección de Datos del año 1995. Por lo tanto esta entrada podría estar desactualizada.

Ver las novedades del RGPD >>

Si tiene alguna duda o desea información personalizada, póngase en contacto con nosotros y estudiaremos su caso.

El registro de actividades de tratamiento se enmarca dentro de las novedades del RGPD (Reglamento General de Protección de Datos). Esta es la legislación encargada de velar por la protección de tus datos. En concreto, su cualidad o estado público.

En este contexto, Europa se ha involucrado en el asunto con una nueva directiva. La normativa europea abriga una serie de cambios que afectan a la protección de datos de carácter personal.

¿A quién se aplica el nuevo RGPD? A los responsables o encargados del tratamiento. ¿Por qué? Hasta ahora, las empresas podrían estar manejando datos de países europeos.

No obstante, dichas compañías se regían por la legislación de otras regiones o países, que no brindaban el mismo nivel de protección que la legislación europea.

Una nueva LOPD aplicable a la protección de datos partir de mayo de 2018

Aunque ya está activa, la nueva Ley Orgánica de Protección de Datos (LOPD), que introduce los cambios indicados por la UE, será de obligado cumplimiento a partir de mayo de este año.

Esta legislación nace con vocación de otorgarnos más poder a los ciudadanossobre nuestros datos personales. Así, si publicas en redes sociales, utilizas un smartphone o eres asiduo de la banca online, entre otros supuestos, podrás decidir qué información quieres que se haga pública y cuál no.

A pesar de que se trata de una normativa que se enraíza en la Unión Europea, cada país ha de designar el organismo competente para su implantación. En el caso de España, es la Agencia Española de Protección de Datos.

La normativa no sustituye a la anterior LOPD, sino que introduce algunos matices, como la necesidad de elaborar un fichero en el que introduzcas una serie de datos.

¿Cómo acometer tu registro de actividades de tratamiento?

Si eres empresario, como sabes, tienes la obligación de contar con un archivo en el que desgranes:

– Los datos que contiene.

– Con qué finalidad.

– ¿Qué medidas de seguridad aplicas?

– ¿Qué nivel de seguridad le otorgas?

– ¿De qué tipo es el fichero: manual, mixto o automatizado?

– ¿Los datos van a ser transferidos fuera del ámbito del Espacio Económico Europeo?

En este caso, el Reglamento General de Protección de Datos establece que, si eres el responsable del fichero, has de incorporarlo y hacerlo público a través de la web de la Agencia Española de Protección de Datos.

¿Cuál es el propósito? Otorgar más poder a las personas sobre nuestros datos. En concreto, sobre qué se está realizando con ellos cuando los comunicamos a una entidad tanto de índole pública como privada. Además, nos da los derechos de acceso, rectificación, cancelación y oposición.

Las novedades RGPD son clave

La normativa europea ha incluido estos cambios, dado que ha constatado que la obligación de comunicar a las autoridades correspondientes los datos personales no ayudó, en todos los casos, a garantizar la protección de datos.

En este sentido, el Reglamento General de Protección de Datos desempeña un papel relevante y establece dos principios, que has de cumplir si eres el responsable de elaborar el fichero correspondiente. Estos son:

Principio de responsabilidad proactiva

Se basa en que analices qué datos tratascon qué finalidades lo haces y qué tipo de operaciones de tratamiento llevas a cabo. A partir de esta evaluación, has de valorar la forma en la que aplicarás, de manera explícita, las medidas que el RGPD prevé.

¿Por qué lo has de realizar de este modo? Te aseguras de que son los preceptos adecuados a cada caso y puedes demostrarlo ante las personas interesadas y autoridades que lo supervisan.

Este principio requiere, en resumen, una actitud por tu parte consciente, diligente y proactiva ante todos los tratamientos de datos de carácter personal que lleves a cabo.

El enfoque de riesgo

Si nos atenemos a lo que apunta el RGPD, las medidas encaminadas a asegurar su cumplimiento han de tener en cuenta una serie de aspectos del tratamiento:

– La naturaleza.

– El ámbito.

– El contexto.

– Los fines.

Conforme a este enfoque, algunas de las predisposiciones que el RGPD establece solo se aplicarán cuando exista un alto riesgo para los derechos y libertades de las personas. Otras medidas las tendrás que modular en función del nivel y tipo de riesgo que entrañen los tratamientos.

Por lo tanto, no es lo mismo una gran empresa que maneja datos sensibles que involucran información personal o volúmenes relevantes de información que una pequeña que utiliza pocos datos y que son de índole sensible.

¿Cuáles son los contenidos de un registro de actividades de tratamiento?

La obligación de realizar la correspondiente anotación te atañe tanto si te han nombrado responsable del fichero como encargado de tratamiento. Sin embargo, el contenido de tu registro diferirá si eres responsable de fichero o encargado de tratamiento.

¿Qué hacer si eres responsable de fichero?

La información que ha de contener tu fichero ha de ser la siguiente:

– ¿Cuáles son los datos de contacto, así como la identificación del responsable, corresponsable, representante y delegado de protección de datos?

– ¿Con qué fines realizas el tratamiento?

– ¿Cómo describes la categoría y los datos de las personas que inscribes en tu fichero?

– ¿Vas a realizar transferencias internacionales de datos? En el caso de ser así, ¿con qué garantías cuentas?

– ¿Cuáles son los plazos que tienes establecidos para la eliminación de los datos?

– ¿Qué medidas de seguridad vas a aplicar?

¿Cómo proceder si eres encargado de tratamiento?

Los datos que has de incluir en tu archivo son los que, a continuación, se nombran:

¿Cuáles son los datos de contacto y la identificación del encargado, así como de su responsable, del representante del encargado o del responsable y del delegado de protección de datos?

– ¿Cuáles son las categorías de tratamiento realizadas por el responsable?

– ¿Tienes pensado efectuar transferencias internacionales de datos? Si es así, ¿cómo lo justificas?

– Si es posible, ¿cuáles son las disposiciones de seguridad que vas a implantar?

Por tanto, a partir de mayo de este año, habrás de implantar un registro de actividades de tratamiento, indispensable para velar por el cumplimiento de los derechos y libertades de los ciudadanos respecto a sus datos de carácter personal. De este modo, velarás por la seguridad, la intimidad y el derecho al honor y a la propia imagen.

El tratamiento de datos personales en la redacción de las bases de los concursos

AVISO IMPORTANTE

Desde el pasado 25 de Mayo de 2018, entró en vigor la aplicación del nuevo Reglamento General de Protección de Datos (RGPD) que modifica varios aspectos de la Ley de Protección de Datos del año 1995. Por lo tanto esta entrada podría estar desactualizada.

Ver las novedades del RGPD >>

Si tiene alguna duda o desea información personalizada, póngase en contacto con nosotros y estudiaremos su caso.

En la celebración de concursos y sorteos, existen diversas cuestiones a tener en cuenta desde el punto de vista legal y, especialmente, en cuanto a la protección de datos personales. En este artículo, verás cómo debe realizarse la redacción de bases de concursos, para cumplir las disposiciones de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) y su normativa complementaria.

Aspectos generales

Para dar transparencia a la promoción y evitar futuros inconvenientes o reclamaciones por parte de los participantes y/o ganadores, las bases deben redactarse incluyendo determinada información:

1. Identificación del organizador

Razón social, domicilio, CIF y correo de contacto.

2. Fechas de inicio y finalización

Hay que dejar bien claras, indicando días y horas, las fechas hasta las cuales los interesados podrán presentar participaciones y el momento en el que se llevará a cabo el sorteo o concurso.

3. Mecánica del sorteo o de la promoción

Detallar claramente en qué consiste la promoción y cuáles son los criterios para seleccionar al ganador o a los ganadores. Por ejemplo, si se trata de un concurso literario, hay que indicar cómo se constituye el jurado, cuáles son las normas de estilo y en base a qué pautas el jurado elegirá a los ganadores.

4. Requisitos para participar

Es preciso mencionar cuáles son las condiciones para que los interesados puedan participar en la promoción, aun cuando esté abierta a cualquier persona.

5. Número de ganadores y premio ofrecido

Indicar si el ganador será un solo participante o varios y si se seleccionarán ganadores “suplentes” para el caso en el que algún participante no quiera o no pueda aceptar el premio.

Además, es importante que se establezcan con claridad la naturaleza y el valor del premio o de los premios que se otorgarán. Conviene indicar todas las cuestiones accesorias necesarias, como si el premio puede ser reemplazado o existe alguna fecha límite para su aceptación.

6. Mecanismos de notificación al ganador

Las bases deben mencionar la fecha en la que el ganador o los ganadores serán informados y -muy importante- la vía a través de la cual serán notificados. Por ejemplo, cuando la publicación se realice a través de una página web o red social, es posible establecer que se publicará el nombre del ganador y este deberá comunicarse con el organizador en un plazo determinado. Sin embargo, es importante que ese plazo sea razonable y no demasiado efímero.

7. Cesión de derechos de imagen y/o propiedad intelectual

Es esencial para que el organizador pueda dar a conocer, públicamente, los ganadores. Cuando el sorteo se realiza a través de las redes sociales, los participantes deben aceptar previamente que sus perfiles se podrán hacer públicos en los perfiles u otros sitios web del organizador.

8. Posibles suspensiones o prórrogas

Las bases deben contemplar la posibilidad de que el concurso o sorteo sea suspendido o se prorroguen las fechas de selección de los ganadores. Lógicamente, ello puede ocurrir mediando causas de fuerza mayor.

9. Penalizaciones y descalificaciones

Se detalla bajo qué circunstancias es posible que los participantes sean penalizados o descalificados del concurso. Por ejemplo, ante casos de conducta fraudulenta (como plagios o participación a través de varias cuentas similares).

10. Cláusula de exoneración de la responsabilidad

El organizador debe incorporar una cláusula que lo exima de responsabilidad por incumplimientos por parte de participantes o uso indebido del premio otorgado al ganador.

Reglas básicas para la protección de datos en la redacción de bases de concursos (Reglamento de la LOPD)

Un informe de la Agencia Española de Protección de Datos Personales apuntó que, en la realización de concursos, uno de los incumplimientos más frecuentes de la LOPD y del Reglamento de la LOPD tiene que ver con la información incompleta que se facilita a los participantes en el momento de recoger sus datos personales.

Al redactar las bases, no debemos olvidar que, por involucrar el tratamiento de datos personales de los participantes, se debe incluir obligatoriamente determinada información específica.

Además de la normativa nacional, en 2016 se aprobó en el Parlamento Europeo el Registro General de Protección de Datos, que viene a incorporar nuevos requerimientos sobre la información que se debe presentar a los interesados (en este caso, a los participantes del concurso).

Si bien siempre es conveniente contactar con una consultoría de protección de datos, siguiendo estos consejos, podrás evitar potenciales inconvenientes:

– Identificación del organizador del concurso o sorteo

Los interesados deben tener una información clara y completa sobre la identidad de la empresa que organiza el concurso, en su carácter de responsable del tratamiento de sus datos personales. Por ello, las bases deben mencionar su razón social (nombre), domicilio social, código de identificación fiscal y correo electrónico de contacto. También deberían incluirse la identidad y los datos de contacto de un representante de la compañía.

– Finalidad del tratamiento

Las bases deben realizar una descripción de los fines del tratamiento de los datos, los plazos o criterios de conservación y la posible elaboración de perfiles o existencia de decisiones automatizadas y lógica aplicada.

– Legitimación

Explicar la “base” jurídica del tratamiento de los datos.

– Previsión de cesiones o transferencias de los datos a otros países

En caso afirmativo, hay que detallar quiénes son los destinatarios finales de la información.

– Derechos de los participantes

Se debe hacer referencia al ejercicio de los derechos y hay que detallar, según contempla la normativa, cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de los datos, además de la limitación u oposición a su tratamiento.

También se debe describir el derecho a retirar el consentimiento prestado y reclamar ante la autoridad de control (Agencia Española de Datos Personales).

Revisar las normas y acudir a una consultoría de protección de datos: dos claves para evitar problemas

Esta guía contiene las pautas básicas para que la redacción de bases de concursos y sorteos se haga con total cumplimiento de la normativa aplicable a los datos personales. Sin embargo, siempre es recomendable consultar las guías oficiales elaboradas por la Agencia Española de Protección de Datos Personales (por ejemplo, siguiendo este link, encontrarás la guía sobre cumplimiento del deber de informar). Además, es un tema que también implica la consulta a especialistas en protección de datos.

Los cambios de la LSSI y el email marketing

AVISO IMPORTANTE

Desde el pasado 25 de Mayo de 2018, entró en vigor la aplicación del nuevo Reglamento General de Protección de Datos (RGPD) que modifica varios aspectos de la Ley de Protección de Datos del año 1995. Por lo tanto esta entrada podría estar desactualizada.

Ver las novedades del RGPD >>

Si tiene alguna duda o desea información personalizada, póngase en contacto con nosotros y estudiaremos su caso.

Si existe un sector donde cumplir la ley de protección de datos es vital es en el de email marketing. En esta estrategia, basada en que el usuario cede sus datos personales a una empresa privada, hay que tener siempre un especial manejo y cuidado con los datos que disponemos, sobre todo cuando nos dedicamos alcomercio electrónico y se realizan campañas de mailing. Estas campañas son cruciales para muchas compañías que desean incrementar sus ventas gracias a los avances del ecommerce, pero todas tienen que poner un esfuerzo importante en la política de privacidad de los datos que gestionan.

Una estrategia que cada vez llega a más personas gracias a las nuevas tecnologías y que está en constante evolución. Tanto en técnicas de publicidad como en las leyes de protección de datos que protegen al usuario. En este último caso nos vamos a detener, ya que además de repasar la normativa que siempre hemos tenido, destacaremos posteriormente los cambios que se van a aplicar en materia de LSSI (ley de la Sociedad de la Información y el comercio electrónico).

Ley de protección de datos: clave para el comercio electrónico

Entre el mailing y el spam hay una línea muy delgada que en algunos casos nos lleva, aunque no lo sepamos, a cometer errores. Esta ley de protección de datos es muy extensa, pero vamos a continuación a resumirte los aspectos más interesantes y que debemos cumplir:

Texto de advertencia del «Aviso Legal» en una página

En primer lugar debemos tener clara la diferencia entre la Ley Orgánica de Protección de Datos y la Ley de la Sociedad de la Información y el Comercio Electrónico. La primera hace referencia a los datos privados de las personas físicas, mientras que la segunda ley regula la información en Internet sobre una empresa o persona.

Si vamos a redactar el texto de «Aviso Legal» en la web debemos tener clara cuál es la diferencia y elegir el texto correcto.

Declarar las bases de datos

Es un aspecto que cumplen pocas empresas: al igual que se registra el dominio web, si contamos con una base de suscriptores, ella se debe declarar a la Agencia de Protección de Datos en España.

Quién es el emisor en el email marketing

En muchos correos de este tipo no existe clara la información sobre quién emite el email. Aunque se tenga una comunicación prolongada con el cliente, siempre se debe incluir toda la información clara y concisa.

Formularios para ir directamente a la información

Todos los formularios de registro o suscripción deben incluir un apartado para ir directamente a la página de «Aviso Legal» donde se expliquen detalladamente todos los datos.

Consentimiento del suscriptor

Siempre debe existir un consentimiento para enviar la información del email marketing. No obstante, se suelen cometer infracciones como estas:

– Comprar listados de empresas con datos sensibles de ellas, enviándoles reiteradamente correos.

– Trasladar de otra página web correos electrónicos. Es decir, coger correos de otros sitios web sin que lo hayan solicitado.

– Inclusión en una base de datos de todas las personas que podamos tener en una agenda en papel e incluirlas sin consentimiento.

– Los formularios de suscripción deben ir con la modalidad exacta para que el usuario decida confirmar o no la suscripción desde su correo electrónico.

¿Qué cambios en la legislación europea de LSSI para el email marketing existirán desde este año?

Debido a la evolución del sector y a los cambios digitales, la ley de protección de datos para el comercio electrónico ha tenido que modificarse. La ley establece una serie de medidas importantes que todos los países comunitarios tienen que aplicar si quieren cumplir con la política de privacidad.

La ley como borrador entró en vigor el 25 de mayo de 2016, pero tras dos años, es decir este 2018, tiene que ser de obligado cumplimiento. Sus objetivos principales, que toda página web debe cumplir, son los siguientes:

– Concepto de derecho al olvido: obliga a los administradores de una plataforma online a eliminar en menos de 10 días los datos que solicites, incluso los comentarios que hayas podido dejar en foros.

– Información sobre pirateos: los administradores deberán dar información a los usuarios si los datos personales los ha pirateado alguien. Esta información no debe superar los tres días.

– En caso de problemas o requerimiento del usuario, las páginas web deben facilitar al usuario trasladar sus datos a otras plataformas. Este caso es especialmente útil para las compañías que desean migrar sus bases de datos.

– Simplificación del lenguaje: en este punto se debe simplificar el lenguaje de los textos informativos sobre las leyes que comprenden sus derechos.

– Si el usuario desea modificar o eliminar sus datos tiene derecho y los administradores cuentan con un mes para borrar cualquier rastro del usuario.

– Manejar información desde los 16 años: será lícito contar con información de personas físicas desde los 16 años, aunque la ley será flexible y permite a los países dentro de la UE poder bajar esa edad hasta los 13 años.

– Sanciones más elevadas: si se incumple la ley, las sanciones llegarán a 20 millones de euros o a el 4 % de la facturación anual.

– Indemnizaciones por parte de usuarios: este nuevo documento jurídico permitirá a los usuarios reclamar indemnizaciones si se ven vulnerados sus derechos.

Cómo cumplir la nueva ley de LSSI en el email marketing

Los consejos son los siguientes:

– Contar con menos información personal de los usuarios.

– Contar en la web con un panel que facilite modificar o cancelar nuestros datos.

– Migrar las bases de datos a servidores más seguros.

– Impulsar que la vinculación del usuario con la página tenga que ver con los intereses de la web.

En definitiva, esta nueva ley nace con el objetivo de equiparar en cada país de la UE los derechos de las personas que son usuarias de páginas web o defender los derechos en las campañas de email marketing, destacando una política de privacidad más dura que conlleva sanciones si se incumple. Así, se conseguirá lograr mayor autoridad y aportar mayor confianza a los usuarios de comercio electrónico.

Adaptación al RGPD en una empresa

AVISO IMPORTANTE

Desde el pasado 25 de Mayo de 2018, entró en vigor la aplicación del nuevo Reglamento General de Protección de Datos (RGPD) que modifica varios aspectos de la Ley de Protección de Datos del año 1995. Por lo tanto esta entrada podría estar desactualizada.

Ver las novedades del RGPD >>

Si tiene alguna duda o desea información personalizada, póngase en contacto con nosotros y estudiaremos su caso.

Con la entrada en vigor del nuevo RGPD en mayo de este año 2018, se van a producir numerosas modificaciones en la LOPD. Esta fecha concreta en la que termina, para los Estados miembros de la Unión Europea, el plazo de dos años que tenían para realizar una adecuada protección de datos en base al Reglamento Europeo 679/2016 de Protección de Datos, que es el que te hemos señalado con sus siglas: RGPD.

Como te decíamos, el margen para que se aplicara el RGPD era de dos años, cumpliéndose el mismo este próximo mayo. La aplicación y las novedades del RGPD, en general, han resultado en uno de los cambios legislativos más importantes que se han producido en todos estos últimos años. Se trata de armonizar la legislación de todos los EEMM de la Unión Europea en materia de protección de datos para que las empresas puedan aportar más seguridad a los ciudadanos en el tratamiento de sus datos, tanto por los poderes públicos como en las empresas privadas.

Adaptación de las empresas a las novedades del RGPD

Entre las empresas, se está produciendo mucha inquietud con respecto a la correcta implantación del nuevo RGPD y sobre las modificaciones de la LOPD. En este caso, una consultaría de LOPD podrá facilitarte todos los puntos que debes tener en cuenta, así como su aplicación práctica en el tratamiento de datos de los ciudadanos y de los mecanismos de control.

Además, cabe señalar que la nueva LOPD que va a complementar el reglamento mencionado, va a entrar en vigor ese mismo día. Una consultoría de LOPD te puede sintetizar todos los puntos que van a resultar de mayor importancia para las empresas y te puede aclarar los puntos más importantes en el ámbito de su aplicación práctica.

1. La carga en la empresa

Como es de esperar, tu empresa tendrá que establecer un compromiso mucho más grande en la protección de datos de los ciudadanos, ya que el RGPD implanta una numerosa y relevante normativa al respecto. No obstante, esto no tiene por qué suponer una carga de trabajo superior, especialmente con los servicios de una consultoría de LOPD.

Es importante que sepas que, si en la actualidad ya tenías una gestión adecuada de la LOPD del 1999, el RGPD va a suponerte una simple continuación o va a reemplazar las medidas que se van a establecer en las empresas. Es decir, nuestro país parte de una base legislativa importante en cuanto a las medidas de seguridad.

2. Los consentimientos en materia de protección de datos

Los cambios más importantes que se van a producir de acuerdo con el RGPD oscilan en torno al consentimiento en el tratamiento de los datos personales. Hasta ahora, habían existido numerosas modalidades para ofrecerlo. Pero ahora tendrás que obtener una declaración expresa de los que estén interesados o, por otro lado, una acción positiva que señale el acuerdo de dicho reglamento.

Esto supone una prohibición de los consentimientos tácitos o por inacción. En las webs, esto significa que no valdrán las casillas que estén premarcadas, y que el consentimiento se tendrá que aplicar a todas y cada una de las modalidades que tu empresa ofrezca. Eso sí, si ya has conseguido un consentimiento previo que cumpliera con los requisitos del RGPD, no tendrás que volver a obtenerlo.

3. Los avisos de la privacidad

Esto te supondrá una revisión exhaustiva de los avisos de legalidad y de las cláusulas informativas. El RGPD incluye una información clara a los ciudadanos cuyos datos vayas a tratar. Es decir, concisa, entendible, que sea fácilmente accesible, que tenga un lenguaje claro, que sea por escrito u otros medios, siempre que todos ellos sean gratuitos.

4. La realización de los contratos con terceros y los encargados de los tratamientos (ET)

Se ha ampliado el contenido de los contratos que se van a firmar con los encargados de tratar los datos personales de terceras personas. Una consultoría de LOPD te podrá ayudar a incluir los aspectos necesarios, a saber, la descripción con detalles de lo servicios prestados, las medidas que van a resultar de aplicación, las transferencias que sean posibles en el tratamiento de datos internacionales o las subcontratas. Los servicios de una consultoría de LOPD te proporcionarán la clave necesaria en la firma de nuevos contratos con terceros que se adapten correctamente al nuevo RGPD.

5. Nivel de seguridad a tener en cuenta en los datos

En la LOPD no se establecían anteriormente diferenciaciones en los tratamientos de los datos. Para una mejora en la protección de datos personales, entre las novedades del RGPD se incluyen categorías especiales de datos, además de dos apartados a señalar: los datos genéricos y los biométricos.

6. Las medidas de seguridad que se establecen en el RGPD

Es en este punto en el que debemos hablar de la responsabilidad proactiva, la cual se acuña internacionalmente con el término de accountability. Esto significa que tu empresa tendrá que aplicar una serie de medidas que resulten necesarias para garantizar los criterios de seguridad obligatorios. Es decir, la integridad, la confidencialidad, la disponibilidad y, por último, la resiliencia.

Esto se establece con la finalidad de que protejas los datos por defecto desde el diseño, a que establezcas medidas técnico-organizativas, a que tengas un registro de tratamientos, evaluaciones, nombramientos de delegados de protección de datos cuando corresponda y que notifiques a los interesados las violaciones en su seguridad.

7. Los registros de ficheros

Aquí, reincidimos en lo que te hemos expuesto en el apartado anterior de crear y llevar un registro en las actividades de tratamiento de los datos de terceros, el cual deberá tener un contenido mínimo.

8. Derecho al olvido y a la portabilidad

Tendrás que permitir a los interesados recuperar sus datos estructuradamente y que sus datos desaparezcan completamente de Internet.

9. La designación del DPO

El nuevo RGPD establece la obligación de designar un delegado de protección de datos según sus cualidades profesionales.

Una consultoría de LOPD podrá poner a tu disposición la aplicación de los mecanismos que necesites en la nueva regulación del RGPD y, además, te ayudará a su exhaustivo cumplimiento de acuerdo con la legalidad vigente.

Las principales sanciones de la LOPD

AVISO IMPORTANTE

Desde el pasado 25 de Mayo de 2018, entró en vigor la aplicación del nuevo Reglamento General de Protección de Datos (RGPD) que modifica varios aspectos de la Ley de Protección de Datos del año 1995. Por lo tanto esta entrada podría estar desactualizada.

Ver las novedades del RGPD >>

Si tiene alguna duda o desea información personalizada, póngase en contacto con nosotros y estudiaremos su caso.

Debes tener muy en cuenta las sanciones de la LOPD cuando estás trabajando con datos e información de terceros en tu empresa. El Reglamento de Protección de datos europeo o Reglamento LOPD establece muchas novedades, en cuanto al tratamiento de la información. Uno de los ámbitos en los que pone un mayor énfasis este nuevo reglamento es, precisamente, en las sanciones a las que puedes verte sometido en tu empresa si no respetas unos mínimos establecidos en esta normativa.

¿Cuáles son las sanciones del Reglamento LOPD?

Generalmente, los datos gestionados por una empresa debe ser empleados solamente para la finalidad para la que fueron otorgados. Esto implica que, si no tienes autorización del dueño de los datos para comunicarlos a terceros o usarlos para otros fines, estarás incurriendo en una infracción, dentro de esta normativa.

En el caso de que la finalidad para la que fueron concedidos los datos cambie o desaparezca la empresa está obligada a conservar los datos durante el tiempo justo y necesario para poder atender una reclamación o solicitud que pueda surgir en virtud del tratamiento de esos datos y en las relaciones jurídicas. Una vez ha pasado el plazo mínimo establecido en cada caso, debes destruir los datos que tengas en tu poder.

En cualquier consultoría LOPD se analizan, en primer lugar, la situación de la empresa, en relación con los datos de los que se dispone, y el tratamiento que se hace de esos datos con la finalidad de valorar si se está cumpliendo con lo que establece el Reglamento o no.

Las sanciones que se recogen en la nueva normativa de protección de datos pueden ser de tres tipos, dependiendo de las consecuencias que tengan para la empresa:

– Sanciones leves.

– Sanciones graves.

– Sanciones muy graves.

Cada tipo de sanción lleva asociado una multa, con una cuantía económica en función de la clase de infracción asociada y del impacto que esa sanción pueda tener en la protección de los datos de los interesados. A continuación, te relatamos qué acciones se contemplan dentro de cada categoría de sanciones contempladas en esta legislación:

Auditoría LOPD: sanciones leves en el Reglamento LOPD

Son consideradas sanciones leves las siguientes:

– El hecho de no realizar la correspondiente solicitud de inscripción del fichero en la Agencia Española de Protección de Datos (AEPD).

– La no información a la hora de recopilar datos personales.

– Que tu empresa reciba consultas por parte de la AEPD y no las atienda es considerado también como una infracción.

– En el caso de que algún usuario realice una petición de rectificación o cancelación de datos y la empresa no atienda esas peticiones o las ignore.

En cualquiera de las situaciones que hemos indicado, la multa a la que puede tener que hacer frente la empresas oscila entre 600 y 60.101,21 €.

Consultoría LOPD: sanciones graves en el Reglamento LOPD

Son faltas graves las siguientes:

– La no inscripción de los ficheros ante la AEPD.

– Como hemos indicado anteriormente, el uso de los datos para una finalidad diferente a aquella para la que fueron otorgados.

– Carecer del consentimiento necesario por parte del interesado para poder recopilar sus datos personales y disponer de ellos.

– Impedir o prohibir a los interesados el acceso a sus datos, aun cuando lo estén solicitando.

– Mantener ficheros con datos que no son correctos o precisos y no hacer los cambios o las modificaciones que hayan sido solicitados por los usuarios.

– El incumplimiento de los principios y garantías que vienen recogidos en la LOPD.

– En el caso del tratamiento de datos especialmente protegidos y que no han sido autorizados por los afectados, se está cometiendo una infracción grave.

– Si la empresa no envía o comunica a la AEPD las notificaciones que establece la regulación, estará incurriendo también en este tipo de infracción.

– La falta de una seguridad suficiente en el mantenimiento de los ficheros en poder de la empresa.

Todas las infracciones indicadas en este apartado pueden dar lugar a una multa cuya cuantía puede oscilar entre 60.101,21 y 300.506,05 €.

Sanciones muy graves en el Reglamento LOPD

Las sanciones consideradas como muy graves en la normativa citada son las siguientes:

– Crear ficheros que contemplen datos correspondientes a datos considerados como especialmente protegidos.

– Recoger o recopilar datos de forma fraudulenta o mediante el uso de engaños.

– Obtener datos con un alto nivel de protección sin tener, para ello, autorización de las personas afectadas.

– Poner trabas o dificultar de manera continuada en el tiempo las peticiones o solicitudes de rectificación o cancelación de datos recibidas.

– Vulnerar el secreto en el caso de los datos especialmente protegidos.

– Ceder o comunicar datos de terceros sin contar con permiso para ello es tipificado como una infracción muy grave.

– En el caso de que la AEPD lo pida, no acabar con el uso ilegítimo.

– Cualquier acción de tratamiento de datos que se lleve a cabo de manera ilegítima o no tenga en cuenta las garantías y los principios que se tengan que aplicar en cada caso.

– No hacer caso o no atender a los requerimientos que se reciban por parte de la AEPD.

– Llevar a cabo una transferencia, ya sea de manera temporal o definitiva, de datos personales dirigida a países en los que los niveles de protección no son los mismos o que no cuentan con autorización está considerado también como una falta muy grave.

Todas las infracciones consideradas muy graves pueden suponer para la empresa multas que oscilan entre 300.506,05 y 601.012,10 €.

Según hemos visto, el nuevo Reglamento de Protección de Datos contempla una serie de sanciones de la LOPD que pueden tener consecuencias muy importantes para la empresa, si no se controlan adecuadamente las circunstancias que las motivan. Una auditoría LOPD puede ayudar a tu organización a tener un conocimiento más preciso del grado de cumplimiento de esta normativa en la empresa y ayudar, de esta manera, a prever situaciones de incumplimiento que pueden suponer unos problemas tanto en relación con el coste que suponen como en relación con las garantías que hay que demostrar ante la AEPD.

La compatibilidad del uso de Dropbox con la LOPD

AVISO IMPORTANTE

Desde el pasado 25 de Mayo de 2018, entró en vigor la aplicación del nuevo Reglamento General de Protección de Datos (RGPD) que modifica varios aspectos de la Ley de Protección de Datos del año 1995. Por lo tanto esta entrada podría estar desactualizada.

Ver las novedades del RGPD >>

Si tiene alguna duda o desea información personalizada, póngase en contacto con nosotros y estudiaremos su caso.

Actualmente, las empresas tienen a su disposición un mayor número de servicios en la nube, como es el caso de Dropbox. Se trata de nuevas herramientas que facilitan la vida de las compañías, pero suponen numerosos interrogantes respecto a su uso. Esto se debe a que desafían lo que estaba establecido hasta la actualidad en relación con la protección de datos. Por ello, es importante que sepas hasta qué punto el uso de este servicio de alojamiento de archivos cumple con los requisitos de la LOPD.

Beneficios del uso de Dropbox en las empresas

– Ofrece una gran flexibilidad de uso. Los empleados de una empresa pueden acceder a la plataforma desde cualquier lugar, se encuentren donde se encuentren. Basta con tener un usuario y una contraseña para poder entrar y tener acceso a los diferentes archivos allí almacenados. Esto facilita enormemente la vida de los empleados, que no necesitan preocuparse por llevar los archivos encima todo el tiempo, ya sea en formato físico o digital.

– Es realmente sencillo de utilizar. Este famoso servicio de almacenamiento es muy fácil de utilizar. Las opciones son verdaderamente simples y la información está presentada de una forma clara y muy intuitiva. Cualquier empleado, sea cual sea su formación, será capaz de utilizarlo y sacar provecho de las ventajas que este tipo de almacenamiento en la nube ofrece.

– Se trata de un servicio muy económico. Con el empleo de esta herramienta, las compañías pueden ahorrarse los gastos asociados al mantenimiento, la compra de hardware, el espacio e incluso los empleados para gestionar los sistemas de almacenamiento. Con este novedoso servicio, solamente es necesario pagar las cuotas mensuales, para poder usarlo de una forma cómoda y sin preocuparte de ningún coste extra.

– Proporciona garantías en la integridad de los datos. En los supuestos casos en los que un servidor pueda llegar a fallar, este tipo de empresas cuenta con un sistema de respaldo, en el que se guarda una copia de los documentos para los momentos en los que suceden dichos fallos de servidor.

A pesar de ofrecer numerosas ventajas, también cuenta con algún que otro inconveniente. Uno de los principales es que su uso depende de terceras partes, como es el caso de los proveedores de Internet. Si no se dispone de conexión, no podrás acceder a los datos en la nube.

La protección de datos y el uso de estos servicios

Según los datos que desees almacenar en este servicio, puedes estar realizando acciones que no son legales respecto a la Ley Orgánica de Protección de Datos (LOPD). En este caso, puedes estar arriesgándote a recibir una gravísima sanción, pues su empleo podría catalogarse como una infracción muy grave. Esto se produce en las situaciones en las que se están gestionando datos personales. Por ejemplo, en las historias clínicas de los pacientes.

Pocas veces les prestamos atención, pero hay que leerse detenidamente las famosas “Condiciones y términos de uso”. Una vez hayas hecho esto, te encontrarás con una serie de objeciones respecto a la utilización de esta práctica herramienta:

– Una de las más importantes es que la empresa, en ningún caso, se hace responsable de la seguridad de los datos que hayas podido subir a la nube. Por ello, es vital que tengas esto en cuenta a la hora de subir determinados datos, pues nadie te está asegurando que vayan a estar totalmente protegidos. Además, en el caso de que algo suceda con ellos, no podrás responsabilizar a la compañía de nada de eso.

– La empresa tiene su sede social en California, por lo que se rige por las leyes de dicho Estado. A pesar de que es cierto que está acogida a las normativas conocidas como Safe Harbor, que han sido reconocidas por la Agencia Española de Protección de Datos (AEPD), cualquier tipo de reclamación que tuvieras que hacer sería una gestión verdaderamente complicada.

– Por si todo esto fuera poco, la LOPD exige que se tiene que informar al titular de los datos personales de que la información va a ser almacenada en un servidor radicado en Estados Unidos. Además, deberías contar también con una autorización específica del director de la AEPD.

– Según el artículo 12 de esta ley, al entrar en juego una tercera parte, se debe firmar un contrato en el que se recoja esta figura, conocida como la del “encargado de tratamiento”.

Cualquier consultoría de LOPD podrá explicarte más en profundidad todos los detalles referentes al uso de esta plataforma, pero estos son, a grandes rasgos, los mayores problemas que puede presentar su empleo en el tratamiento de datos personales.

Consultoría de LOPD: lo que debes tener en cuenta a la hora de usar este servicio de datos en la nube

– Debes disponer de una copia de seguridad de todo lo que subas a la nube, pues la información se puede perder y nadie se hará responsable de tal pérdida. Por este motivo, es mejor prevenir que curar y asegurarte siempre de que cuentas con copias de todos los documentos importantes.

– Desde un enfoque legal, no solamente debes solicitar una autorización al director de la AEPD para poder realizar una transferencia internacional de datos; sino que también debes ponerlo en conocimiento de las personas cuyos datos se vayan a subir a nube, ya que estos van a salir fuera de la Unión Europea.

Pero esto no es algo que debas tener solamente en cuenta a la hora de usar Dropbox, sino que también debes tenerlo en cuenta cuando vayas a usar servicios como, por ejemplo, Gmail y gran parte del cloud computing. Como cualquier persona puede denunciarte por un incorrecto tratamiento y almacenamiento de datos ante la AEPD, lo mejor es ajustarte a los márgenes de la ley.

Por todo ello, aunque Dropbox se ha convertido en un gran aliado a la hora de trabajar dentro de las empresas, es necesario establecer una serie de límites cuando se trata de los datos personales. De esta forma, te estarás asegurando de que no incumples ninguno de los artículos de la LOPD, lo que puede llevar a sanciones que podrían perjudicar la supervivencia de tu empresa.

La regulación de los datos biométricos por parte de la LOPD y del RGPD

AVISO IMPORTANTE

Desde el pasado 25 de Mayo de 2018, entró en vigor la aplicación del nuevo Reglamento General de Protección de Datos (RGPD) que modifica varios aspectos de la Ley de Protección de Datos del año 1995. Por lo tanto esta entrada podría estar desactualizada.

Ver las novedades del RGPD >>

Si tiene alguna duda o desea información personalizada, póngase en contacto con nosotros y estudiaremos su caso.

El vertiginoso avance de las tecnologías es más que evidente y, gracias a él, son muchas las ventajas y facilidades con las que contamos en la actualidad. Hoy en día es posible desbloquear cualquier teléfono o dispositivo con las huellas de nuestros dedos e incluso, en algunos casos, mostrando nuestra cara, mediante la identificación exhaustiva e inteligente del rostro. A esto es a lo que llamamos datos biométricos y en este post vamos a esclarecer si se podrían clasificar como datos de carácter personal, según el RGPD y la LOPD.

La nueva ley de protección de datos personales y los datos biométricos

Si trabajas con este tipo de datos, basados en características fisiológicas a través de las cuales se identifica el usuario, es importante que conozcas toda la información que recoge la nueva normativa de protección de datos al respecto. Para empezar, habría que hacerse dos preguntas básicas, cuyas respuestas harán que se comiencen a disolver notablemente tus dudas, en cuanto a esto:

¿Se puede considerar la huella digital un dato de carácter personal? ¿Los rasgos faciales pueden ser considerados como tales?

La respuesta, en ambos casos, es afirmativa. Partiendo de la base de que se entiende como dato personal todo aquel que contenga información numérica, acústica, gráfica, alfabética, fotográfica o de cualquier otro tipo mediante la cual una persona pueda identificarse y ser identificada; podemos decir que ambos lo son. Tanto la huella digital como los rasgos faciales son aspectos exclusivos de cada individuo y permiten que la persona sea identificable, por lo que, definitivamente, son datos de carácter personal. Por consiguiente, será preciso que se cumplan los aspectos y requisitos para su uso respecto a la nueva normativa.

La nueva ley de protección de datos se recoge en el Reglamento General de Protección de Datos europeo (RGPD) y se amplía con la Nueva Ley Orgánica de Protección de Datos (LOPD). Es, precisamente, de estas normativas de las que, a continuación, te hablaremos.

RGPD

​Este reglamento define los datos de carácter personal como aquellos relativos a las características fisiológicas, conductuales o físicas de cualquier persona obtenidos a través de un tratamiento técnico concreto para la identificación exclusiva del usuario en cuestión. En su artículo 9, estos datos son recogidos en la categoría de datos «Especialmente Protegidos», por lo que es primordial que se cumplan los requisitos para su tratamiento.

Requisitos

En primer lugar, es necesario que el usuario dé un consentimiento explícito para el tratamiento de los datos biométricos. Es decir, antes de que una persona se identifique con su huella digital o sus rasgos faciales, habrá tenido que firmar un consentimiento para dar el permiso relativo a que estos datos personales sean usados para un fin específico.

Por otro lado, debes saber que es obligatoria la evaluación de impacto del sistema que vamos a usar o, lo que es lo mismo, un análisis de los riesgos que este pueda entrañar. Además, por último, es preciso que se haga un seguimiento o registro de las actividades de tratamiento, el cual debe contener al menos la siguiente información:

– Razón social y datos de contacto del responsable,  representante del responsable, delegado de protección de datos y corresponsable.

– Los objetivos de dicho tratamiento.

– La descripción detallada de los interesados y datos personales.

– Destinatarios por categorías a los cuales se le han comunicado o se le comunicarán los datos personales.

– Los plazos establecidos para la anulación de las distintas categorías de datos.

LOPD

La Nueva Ley Orgánica de Protección de Datos pretende ampliar la información recogida en el RGPD. Concretamente, en lo referente a la aplicación de medidas de seguridad en base al riesgo. Así pues, se recogen en esta nueva ley las siguientes medidas.

Medidas de seguridad

Es obligatorio, en primer lugar, que se cifren los datos que se encuentren en la base de datos, así como aquellos comunicados mediante redes. Además, se exige un control de acceso, es decir, un registro de todos los accesos que se hagan a la categoría concreta de datos y se deben recoger los siguientes factores:

– Se debe conocer la persona que accede a dichos datos.

– La fecha y hora exactas a la que se hizo el acceso.

– Los datos a los que se ha accedido.

Un método ideal para el control de acceso de tus empleados

En especial, el sistema mediante huella digital es el más generalizado en el caso de contar con una importante cantidad de empleados. Se garantizan, con este sistema, el cumplimiento de horarios y una seguridad óptima en zonas restringidas; pues, además, se trata de un sistema catalogado como uno de los más efectivos, en cuanto a seguridad, ya que se evita la falsificación de contraseñas y se guarda un absoluto registro de los accesos.

Sin embargo, no en todos los casos es conveniente la instalación o el uso de uno de estos sistemas. Será necesario que se haga una valoración previa para saber si, realmente, te conviene y son proporcionales el medio que pretendes usar y el fin del mismo. Por ponerte un ejemplo, sería totalmente desproporcionado instalar uno de estos sistemas para un solo empleado. En este caso, obviamente, no sería nada rentable.

Si, finalmente, estás decidido a llevar a cabo la instalación de alguno de estos sistemas, será necesario que si la instalación y gestión corre a manos de un tercero, se acredite el cumplimiento de la nueva normativa, en cuanto a los datos personales, además de demostrar que el tratamiento de estos datos cumple con los mínimos de seguridad.

 

Como has podido comprobar, los datos biométricos son, con total claridad, datos de carácter personal; y, como tales, deben cumplir con todos los requisitos y medidas de seguridad recogidos en la nueva normativa del Reglamento General de Protección de Datos Europeo. Son objetivos primordiales que esto se lleve a cabo de forma estricta y nos acojamos a la Ley de Protección de Datos, para brindar al usuario todos sus derechos a la hora de facilitar datos personales. Como, por ejemplo, en este caso, las huellas digitales y los rasgos faciales.