Cambios más relevantes de la nueva LOPD (3/2018)

El pasado 6 de diciembre fue publicada en el BOE la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (“LOPDyGDD”) que incluye una serie de novedades que exceden de lo inicialmente previsto en el Reglamento General de Protección de Datos.

No se pretende hacer un resumen de la nueva normativa, pues esta básicamente viene a trasponer lo que el Reglamento Europeo de Protección de Ddatos establecía y en muchos aspectos se remite a la normativa europea sin aportar nada nuevo o realmente interesante. Por tanto vamos a ver una serie de contenidos y aportaciones interesantes que la nueva LOPDGDD realiza a nuestro ordenamiento.

En primer lugar, el que ha sido el tema más controvertido, la modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, añadiendo un nuevo artículo -el cincuenta y ocho bis-, en el que se permite el envío de propaganda electoral por medios electrónicos o sistemas de mensajería, pudiendo obtener los datos personales en páginas web u otras fuentes a acceso público, con el objetivo de hacer actividades políticas durante el periodo electoral, sin tener la consideración de actividad comercial.

Respecto al tratamiento de datos de personas ya fallecidas, carecíamos todavía de un marco legal básico que permita dar una respuesta adecuada a esta problemática. A tal fin se incorpora en el art. 3, relativo a los “Datos de las personas fallecidas”, la posibilidad de que las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos, puedan dirigirse al responsable o encargado del tratamiento con el objetivo de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.

Como excepción, las personas a las que se refiere el párrafo anterior no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una disposición legal. Esta prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante

En el ámbito laboral también tenemos novedades, y es que se regula la creación de un canal de denuncias internas en el seno de las empresas y permite que las denuncias puedan ser realizadas tanto por un sujeto identificado, como de forma anónima.

En cuanto al Delegado de Protección de Datos (DPD), el artículo 34.1 tasa unos sectores concretos en los que será obligatorio el nombramiento de un DPD. De este modo se especifican los casos que el Reglamento General de Protección de Datos dejaba vagamente descritos, haciendo referencias a supuestos en los que se realizasen tratamientos de datos de forma “sistemática” o a “gran escala” para que fuese necesario llevar a cabo el nombramiento de un DPD. Entre los principales sectores afectados se encuentran los colegios profesionales y consejos generales regulados, universidades y centros docentes que ejerzan enseñanza regulada, empresas aseguradoras y dedicadas a la seguridad privada, entre otras.

Respecto a las sanciones, estas se establecen en el título IX, y destacan por, en primer lugar, liberar de responsabilidad sancionadora al Delegado de Protección de Datos. Según la gravedad, se establecen una serie de sanciones, clasificadas en leves, graves y muy graves, así como un plazo de prescripción que oscilará dependiendo de la cuantía económica que venga aparejada a las sanciones. Estos plazos de prescripción serán de un año cuando el importe de la sanción sea igual o inferior a 40.000 euros, dos años cuando las sanciones sean por importe comprendido entre 40.001 y 300.000 y a los tres años cuando las sanciones sean por un importe superior a 300.000 euros.

Por último, y como principal novedad se incorporan los derechos digitales, al introducir el título X dedicado exclusivamente a la regulación y garantía de este tipo de derechos, que con la proliferación de ciertas tecnologías han sido necesarios establecer. Entre estos derechos destacan:

  • Artículo 89: Derecho a la intimidad frente al uso de videovigilancia y grabación de sonidos en el trabajo
  • Artículo 90: Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral
  • Artículo 91: Derechos digitales en la negociación colectiva
  • Artículo 92: Protección de datos de los menores en Internet
  • Artículo 93: Derecho al olvido en búsquedas de Internet
  • Artículo 94: Derecho al olvido en servicios de redes sociales y servicios equivalentes

En conclusión, estas son las principales novedades que introduce la normativa nacional con respecto a la europea y que será de aplicación para todos los operadores que traten datos de carácter personal en España. Constituye una norma complementaria al Derecho de la Unión Europea, que puede conllevar discordancia con las normas internas que hayan aprobado otros Estados Miembros, y que resulta un tanto decepcionante por no haber abordado ciertas cuestiones que el Reglamento trataba de una forma ambigua y que se podrían haber regulado o desarrollado de una forma más específica.

¿Quién y cómo ha de redactar la política de privacidad de la web de una empresa?

Si tu empresa, sea del tipo que sea, cuenta con una página web, es esencial que conozcas que esta ha de estar completamente adaptada a la legislación vigente en materia de protección de datos. En este sentido, uno de los elementos esenciales de la página de tu empresa será la política de privacidad, por lo que deberás saber quién hace la política de privacidad de tu empresa con el RGPD.

Ahora bien, es probable que tengas muchas dudas en la cabeza ¿Qué es la política de privacidad? ¿Qué es el RGPD? ¿Quién debe encargarse de todo esto? Tranquilo, a lo largo de este artículo iremos resolviendo estas cuestiones.

El Reglamento General de Protección de Datos europeo (RGPD)

De entre toda la amplia legislación en materia de creación de páginas web en Internet, una normativa cuenta con especial relevancia: el llamado Reglamento General de Protección de Datos (RGPD). Y es que esta disposición unifica toda la ley europea, pasando a sustituir la antigua legislación española recogida en la Ley Orgánica de Protección de Datos (LOPD).

El RGPD puede considerarse, por tanto, como la norma fundamental en relación a la protección de las personas físicas en lo que refiere al tratamiento de sus datos personales, y a la circulación de los mismos. De aplicación desde el 25 de mayo del presente año, marca las pautas esenciales a la hora de motar la página web de tu empresa, incluyendo cuestiones relativas a consentimiento, seguridad, información…

La política de privacidad y el RGPD

Qué es la política de privacidad y cuál es su relación con el RGPD

La política de privacidad es un instrumento creado con la finalidad de proteger y preservar el conjunto de derechos del espacio privado de las personas. En este sentido, refiere a un conjunto de medidas que dictan cómo ha de ser utilizada y cómo ha de ser almacenada toda la información que cada usuario que accede a nuestra página web deja en ella.

Por poner un ejemplo, imagina que una persona entra en tu página web e introduce, para registrarse o realizar una compra o consulta, su dirección y número de teléfono. Pues bien, la política de privacidad de tu página web será la que determine qué puedes hacer con esa información, y cómo la almacenarás. De esta forma, existirá un marco de actuación cerrado, que tanto usuario como empresario podréis conocer.

He aquí donde entra en juego el RGPD, puesto que, obviamente, toda política de privacidad deberá cumplir el conjunto de requisitos legales recogidos en esa normativa. Por lo que la redacción de dicha política deberá ir siempre de la mano del contenido del RGPD.

¿Cómo hacer la política de privacidad de una empresa adecuada al RGPD?

Si tuviésemos que reducir a una frase cómo hacer la política de privacidad de una empresa con la LOPD y el RGPD diríamos lo siguiente: la política ha de encontrarse perfectamente adecuada a la ley. Y es que en este tipo de contextos no hay espacio para las excusas, y cada elemento será de importancia crucial a la hora de no incurrir en irregularidades.

Así, aunque la legislación es amplia y compleja y lo ideal es que acudas a profesionales (a los que referiremos más adelante) podría resumirse el modo de realizar una buena política de privacidad de la siguiente forma:

1- Necesidad de abrir un registro en la Agencia Española de Protección de Datos (AEPD): en su página web deberás registrarte, indicando en todo caso el conjunto de ficheros que utilizarás para la recogida de datos de los usuarios que accedan a tu página web.

2- Redacción de la política de privacidad en atención al modelo publicado por el Ministerio: aunque no es obligatorio que tu política sea idéntica a ese modelo, lo cierto es que deberá ser similar o, al menos, aproximarse bastante en su contenido, ya que así te asegurarás de que cumples con las pautas legislativas.

3- Inclusión de una casilla de marcación obligatoria en tu página web: de nada sirve que tu página tenga una buena política de privacidad si el usuario no puede acceder a ella e informarse de su contenido. En este sentido, es legalmente obligatorio que todo aquel que introduzca datos en tu página pueda leer la política. Del mismo modo, junto a ella debe situarse una casilla que les permita indicar que han leído y entendido la política, y que la aceptan en todos sus términos.

¿Quién hace la política de privacidad de una empresa adecuada al RGPD?

Aunque, desde un punto de vista amplio, una política de privacidad la puede hacer cualquiera (en el sentido de que no se exige que el autor sea una persona determinada) lo cierto es que es evidentemente recomendable que la redacte un profesional en la materia.

Del mismo modo que no dejarías que cualquiera te operase en un quirófano, tampoco debes dejar que cualquiera adapte tu página web a la legalidad, ya que una mala realización de la política puede acarrearte graves consecuencias.

En este sentido, quién ha de realizar la política de privacidad de tu empresa ha de ser, preferiblemente, una consultoría de protección de datos. Y es que estas consultorías se conforman por expertos en la materia que, con su conocimiento y profesionalidad, te garantizan la redacción de una política adecuada y completamente legal.

En este sentido, la importancia radica en acudir a profesionales, como procedemos a indicarte.

La importancia de acudir a profesionales

En definitiva, como habrás podido observar sin dificultad, la redacción correcta y legal de la política de privacidad de tu página web puede llegar a ser una tarea algo compleja, pero en todo caso obligatoria. Si no lo haces con pulcritud y perfección, puedes incurrir en ilegalidades que llevarán acarreadas fuertes sanciones.

Será aquí donde cobre relevancia la existencia de profesionales en el sector, lo que antes hemos denominado como consultoría de protección de datos. Si estás pensando en abrir una página web para tu empresa, o deseas adaptar a la nueva legislación una que ya tienes, será totalmente recomendable que acudas a este tipo de consultorías, que adaptarán tu página a la legalidad y, además, podrán ofrecerte defensa jurídica en caso de problema. Ahora ya sabes quién hace la política de privacidad en tu empresa con el RGPD para que ajustarte a la legalidad vigente.

imagen

¿Es ilegal comprar bases de datos?

Si hemos de contestar la pregunta directa que proponemos en el título de este post, que es en definitiva la que te haces normalmente, la respuesta es rotunda. Comprar bases de datos no es ilegal. Otra cosa distinta es que te preguntes si existen bases de datos con correos electrónicos que se pueden comprar y vender legalmente y las hay que no. La segunda pregunta que debes hacerte es qué características debe tener la composición de los datos que incluyen para permitirte realizar acciones con ellos.

Qué aspectos debes tener en cuenta

Ante el interés de utilizar datos que provengan de una fuente externa, como es una base de datos ya preexistente, te vamos a resumir las principales cosas que debes considerar. Estos tres aspectos que te destacamos van a definir el uso legal o ilegal por tu parte de esos datos.

Leyes que regulan la protección de datos personales

Existen tres reglamentaciones básicas que van a afectar a la legalidad del uso de los datos de estas bases de datos externas:

– La Ley de protección de datos, LOPD.

– LSSI que establece la regulación de los servicios de la sociedad de información y comercio electrónico.

RGPD que es el reglamento general de protección de datos adaptado plenamente a la normativa europea y que desarrolla la LOPD.

El principio del consentimiento expreso

En todas estas leyes se establece la obligatoriedad de que los datos que se manejan hayan sido obtenidos con el consentimiento expreso del interesado y conociendo quién los va a utilizar y para qué.

Esto ya presenta una primera dificultad si te planteas adquirir una base de datos externa, ya que todos los datos que incluyan han de reunir estas características.

En la realidad supone que todos los datos hayan sido recogidos con una autorización expresa de sus propietarios para que puedan ser utilizados por la empresa a la que se los han aportado y con consentimiento para ser utilizados por otras a las que se los cedan. Que en sus fines se haya expuesto claramente que los datos van a ser utilizados para mandarles informaciones de otras empresas que puedan ser de su interés.

Esto en realidad no es algo extraño. Seguramente tú mismo has visto muchas veces este tipo de consentimientos en los que te presentan la opción de autorizar una casilla en la que te exponen que si aceptas consientes en que te manden información de otros productos y compañías que te pudieran interesar. Algo perfectamente legal pues el consentimiento voluntario no obedece a más límites que los que tú quieras poner.

Los derechos del propietario de los datos

Las leyes que te hemos expuesto establecen una serie de derechos que la empresa que obtiene estos datos debe garantizar a todo propietario y que son de ejecución inmediata. Estos derechos son conocidos como derechos ARCO y garantizan al usuario el acceso inmediato a sus datos, la rectificación de los mismos, su inmediata cancelación o desaparición de la base de datos, su portabilidad o la limitación del uso de los mismos en cualquier momento.

Parece evidente que con unos plazos de respuesta que no superan normalmente los diez días para llevar a buen fin cualquiera de estas exigencias planteadas por el propietario legítimo de los datos es prácticamente imposible cumplirlas si esa base de datos se ha externalizado.

Ya solo si nos fijamos en el derecho de acceso vemos que este supondría la necesidad del conocimiento previo del propietario de los datos de cada ubicación de los mismos. Esto solo se podría hacer con una comunicación personal, efectiva y demostrable en cada ocasión de que sus datos van a ser incluidos en una base de datos que se venderá a un tercero.

Esto parece imposible en la práctica máxime si tenemos en cuenta que una base de datos puede incluir miles de propietarios. Además, quién cede estos datos y está obligado a su protección debe garantizarse que vayan a ser protegidos de igual forma por parte de quién los adquiere y, por tanto, del perfecto ajuste de este a las leyes y protocolos de seguridad que establecen.

 ¿Venta o alquiler de bases de datos con correos electrónicos?

Todo esto nos lleva a que la solución real para que estos datos puedan ser utilizados por terceros diferentes a los adquirentes no pasa por la venta de las bases de datos, sino por su alquiler.

En el caso del alquiler a través de servicios, los datos no salen en ningún momento de las responsabilidades y protocolos de la empresa matriz que los ha adquirido o recabado legalmente. De esta forma se garantizan perfectamente los derechos ARCO de los propietarios que, en definitiva, mantienen un solo interlocutor en este sentido.

La protección de datos personales queda garantizada de forma exhaustiva, ya que hemos de suponer que una empresa cuyo valor radica en lo que esas bases de datos le producen se preocupará de cumplir rigurosamente con todos los protocolos establecidos.

Así mismo, la empresa matriz será la que ha recabado esos datos y se habrá preocupado especialmente de obtener la autorización pertinente y expresa de sus propietarios para poder emplearlos en el envío de informaciones de terceros cuya información pudiera ser de interés para el propietario de los datos.

En qué consiste el alquiler de bases de datos

En realidad no podemos hablar de un alquiler de la base de datos en sí. Lo que hacen estas empresas es ofrecer servicios de e-mail marketing orientados a acciones estratégicas y sobre la efectividad de disponer de una importante cantidad de datos de usuarios recabados de forma legal.

Estos datos son segmentados para ti en función de tus objetivos y del público que realmente te interesa. Se confecciona así una base de datos personalizada y realizas acciones externalizadas por las que pagas una retribución.

Vender y comprar bases de datos no es ilegal, pero en la práctica se hace casi inviable por la extrema dificultad de favorecer los derechos ARCO que asisten a los propietarios de los datos. La posibilidad legal que sí puedes utilizar es la del alquiler o subcontratación de servicios con empresas especializadas. Aun en este caso te aconsejamos que te garantices del cumplimiento que la empresa que elijas hace de las leyes de protección de datos que afectan a la seguridad de su tratamiento y uso.

imagen

¿Has de proteger los datos personales también en WhatsApp?

El WhatsApp es un sistema de mensajería instantánea que forma parte de nuestras vidas y aunque lo habitual es utilizarlo con fines personales, también hay empresas que aprovechan su funcionalidad para rebajar costes. En este artículo te explicamos cuándo proteger datos personales con WhatsApp con la legislación actual, LOPD y el RGPD, quién se ha de encargar de esta gestión y cómo hacerla.

RGPD: Quién se ha de encargar de proteger los datos personales de WhatsApp

Podemos decir que la responsabilidad de proteger los datos personales de WhatsApp compete a cualquier persona o colectivo que los utilice fuera del ámbito estrictamente personal. Se considera que, en estos casos, sí hay un tratamiento de datos y que procede aplicar la legislación. Por lo tanto, da igual que seas un particular, que representes a una institución pública o que seas autónomo. La única variación está en el grado de protección que tienes que garantizar, que esa sí que variará en función de que el acceso a la información sea público o no.

La legislación a aplicar para el tratamiento de este tipo de datos es la LOPD, la LSSICE y el RGPD.

Cómo proteger datos personales de WhatsApp

Hay varias maneras de proteger datos personales de WhatsApp pero, como principio general, deberías seguir las pautas que dictan la LOPD y el RGPD. Podemos ofrecer algunos ejemplos prácticos para que veas cuán importante es evitar problemas y, sobre todo, para anticiparte a los demás.

1. Limitando la exposición de datos personales

En los grupos de WhatsApp es muy fácil que se expongan datos, imágenes o vídeos de terceros de los que no hay un consentimiento expreso como exige la legislación europea. En primer lugar, nunca deberías hacer eso si no se trata de imágenes de medios de comunicación. En segundo lugar, y si esto sucede por parte de un tercero, te recomendamos que como gestor del grupo elimines esa información e identifiques a la persona que la ha difundido para depurar responsabilidades. Finalmente, es importante que cuentes con sistemas de seguridad que minimicen estas amenazas.

2. Acotando la inclusión en grupos

La inclusión en el grupo ha de ser completamente voluntaria y, en buena lógica, has de solicitar autorización previa para incluir a la gente. Hemos de indicar que este punto es fundamental porque es suficiente con que una persona haya sido incluida sin su consentimiento para formar parte de lo que, a fin de cuentas, requiere de un tratamiento de datos personales.

Ya hay precedentes de ayuntamientos que han sido apercibidos por la AEPD y sancionados por utilizar el teléfono sin consentimiento. Otro caso es el de WhatsApp, que utilizaba datos de Facebook sin que los usuarios fueran conocedores de esta circunstancia.

3. Limitando el uso de datos personales

La LOPD ofrecía un margen de discrecionalidad alto para el tratamiento de datos, pero lo cierto es que el RGPD ha limitado las posibilidades y, como norma, si hay una duda sobre la captación de datos, deberías abstenerte. Además, hemos de recordar que el artículo 4.2 de la LOPD limita claramente los usos que puedes hacer de datos personales y solo puedes saltarte esta norma en caso de recopilar datos con interés científico, estadístico o por razones de interés general.

4. Elaborando un documento de consentimiento

Para que no tengas problemas con WhatsApp, te recomendamos que elabores un documento de consentimiento en el que la persona tendrá que notificar si esta de acuerdo en que sigan utilizando sus datos personales y en qué contextos. Como se trata de no dejar dudas, lo mejor es que indiques cuál va a ser el objeto del tratamiento de datos para que cuentes con una seguridad jurídica.

Cuándo proteger datos personales de WhatsApp

A la hora de proteger datos personales has de tener en cuenta lo siguiente: eres responsable desde el primer momento que realizas un tratamiento de datos. Por lo tanto, lo más lógico es que tomes medidas de carácter preventivo para evitar problemas derivados del desconocimiento de la normativa. Además, también estarás obligado a comunicar a la Agencia Española de Protección de Datos (AEPD) cualquier problema que tengas porque hoy el principio que prima es el de autorregulación.

En consecuencia, tienes que realizar labores de protección de datos antes, durante y después. De hecho, una de las obligaciones es la de respetar escrupulosamente lo que indican los derechos ARCO, incluyendo las novedades del RGPD. Si consideras estas cuestiones, comprobarás que este seguimiento no finaliza hasta que dejes de tener datos personales.

La experiencia nos indica que lo más práctico es tomar como referencia lo que indica el RGPD porque, siempre y cuando no sean conversaciones privadas, tiene la misma validez que si estuvieses gestionando un grupo de correo electrónico.

Por qué proteger datos personales de WhatsApp

Hay un motivo de peso para proteger los datos personales de WhatsApp, las sanciones a las que te expones en caso de que no lo hagas. Por ejemplo, el Reglamento Europeo de Protección de Datos las ha endurecido hasta el punto de que podrían alcanzar los 20 millones de euros o el 4 % de la facturación de las empresas. Por lo tanto, ponerte al día es ya una cuestión patrimonial porque, de lo contrario, tendrás problemas y no es necesario que recordemos cuán importante es esta cuestión en los tiempos que corren.

Otra cuestión igualmente importante es que la difusión de determinados datos personales sensibles podría, incluso, tener consecuencias penales, tanto si son a nivel privado como si son públicos. Si se demuestra que ha habido una imprudencia evidente, es posible que tengas que responder ante los tribunales. De manera que como idea primaria es mejor que evites tener estos problemas.

Conclusión

Tener una idea clara de cuándo proteger datos personales de WhatsApp es interesante porque prevendrás situaciones embarazosas. En cualquier caso, siempre que realices un tratamiento de datos masivo lo mejor es que cuentes con un asesoramiento especializado. En clickDatos contamos con todo lo necesario para ponerte al día y realizar una gestión de datos personales eficiente con garantías.

imagen

¿Qué tramites has de realizar para cumplir el RGPD en WordPress?

La entrada en vigor del Reglamento General de Protección de Datos que se dio el pasado 25 de mayo de 2018 ha provocado la necesidad de adaptar las plataformas digitales a la nueva ley. Por este motivo, en este artículo vamos a explicarte cómo adaptar tu WordPress al RGPD. 

Si bien es cierto que hay mucha información acerca de los cambios que implica el nuevo marco legal, pocas veces se expone con claridad qué es lo que hay que cambiar en los ecommerce y páginas web de WordPress. Y mucho menos cómo hacerlo apropiadamente. Así pues, a continuación te damos toda esta información.

Reglamento Europeo de Protección de Datos: por qué atañe a WordPress

Independientemente de que tu página de WordPress realice una actividad comercial o no, esta recopila datos de los usuarios y por ello debe ceñirse a la nueva ley. En cualquier caso, para que te quede más claro en qué mecanismos se recogen datos, vamos a exponerte una lista de los mismos.

– Registro de usuarios: cuando creas una comunidad de varios miembros, por ejemplo.

– Sistema de comentarios: esta plataforma exige dar unos datos para comentar, por tanto, implica la adaptación a la ley.

– Formulario de contacto: los usuarios dan sus datos para contactar y se debe cumplir con las leyes referentes a esto.

Formulario de suscripción a boletines de noticias: si ofreces una newsletter aunque no vendas nada tendrás que adaptarte a la ley de protección de datos.

– Uso de sistemas de analíticas.

Cookies de terceros y de la propia web.

– Enlaces afiliados.

– Proveedor de herramienta de email.

– Google Analytics.

– Pixel de Facebook.

– Anuncios de Adsense.

– Servicio Cloudflare.

Logs de tu proveedor de hosting.

Por último, has de tener en cuenta estos tres plugin que también podrían afectar a la recogida de datos personales:

– Google fonts.

– Yoast SEO.

– Star Rating.

¿Cómo adaptar WordPress a la LOPD?

A continuación te explicamos ocho factores que has de tener en cuenta para estar en consonancia con la Ley Orgánica de Protección de Datos y evitar problemas legales.

1. Notificación a usuarios

Debes notificar a todos los usuarios que recogerás sus datos a través de un mensaje conciso y claro que puedan entender fácilmente. Por otro lado, también debes informar de que en cualquier momento pueden revocar este consentimiento.

En este aviso debes incluir los datos del responsable del tratamiento, por qué se recopilan, el tiempo de almacenamiento, quién tendrá acceso y para qué y, por último, qué datos se almacenarán.

2. Consentimiento explícito

Una vez que creas el documento informativo, debes asegurarte de que el mecanismo para aceptarlo sea explícito. Es decir, nada de casillas premarcadas ni de aceptaciones por omisión. El usuario debe llevar a cabo una acción para aceptar los términos.

3. Impedimento de recogidas no autorizadas de datos

Para evitar que terceros se hagan con información personal de tus usuarios sin consentimiento, deberás llevar un registro de recolección de los datos personales así como una recopilación de los datos no autorizados. 

En base a esto, tú serás el responsable de asegurar la seguridad de los mismos. Ante esto, lo ideal es acudir a expertos para someterte a una auditoría.

4. Organización y accesibilidad de los datos

Debido al derecho al olvido y la cláusula de Portabilidad de Datos que ha impuesto el Reglamento Europeo de Protección de Datos, tendrás que tener los datos de cada usuario accesibles para poder enviárselos si te lo requiere. Además de, claro está, para suprimirlos si así lo deseara.

5. Soluciones de gestión a sus peticiones

Lo ideal es que habilites un formulario para solicitar la retirada o visualización de los datos que hayas almacenado. Esto es imprescindible para asegurar el respeto a los nuevos derechos de los internautas.

6. Avisar de las brechas de seguridad

Avisar de las brechas de seguridad es una obligación de los responsables de las webs. Esto deberás hacerlo de cara a los usuarios afectados y a la Agencia Española de Protección de Datos, en un plazo máximo de 72 horas tras la sucesión del problema.

Por tanto, tendrás que tener un mecanismo apropiado para detectar estas incidencias.

7. Cuidado con los plugins

Tú, como propietario de la web, serás el último responsable de la recopilación de datos de los plugins que usas en tu WordPress. Así pues, deberás estudiar sus condiciones para asegurarte de que todo sea legal.

8. Consentimiento automático

Si utilizas WooCommerce u otras plataformas para la creación de ecommerce tendrás que asegurarte de que en todos los consentimientos la opción predeterminada sea opt-in y no opt-out. 

De lo contrario, podrías incurrir en una ilegalidad.

Cómo adaptar WordPress al RGPD: acciones a realizar

En este epígrafe te detallamos las 4 acciones principales que debes realizar si quieres adaptar tu página a la legalidad.

1. Textos legales

Debes incluir páginas de:

– Aviso Legal.

– Términos y Condiciones.

– Política de Cookies.

– Formularios de contacto y comentarios.

En todas ellas tendrás que aportar la información relevante que se corresponda con tu actividad. Lo ideal es que estos documentos los redacten expertos en la materia

2. Actualización de tus suscriptores

Deberás enviar un email a tus suscriptores para que renueven su consentimiento de suscripción. De no hacerlo, estarías recopilando sus datos de manera ilegal.

3. Recolección, almacenamiento y procesamiento de la información

Todos estos mecanismos deben estar adecuados a lo estipulado en el RGPD. Por ello, tendrás que adaptar tus formularios de suscripción, de contacto, comentarios y aplicar las herramientas necesarias para respetar los nuevos derechos de los internautas.

4. Estudia a otras páginas y toma notas

Por último, debemos destacar que no estaría de más observar a otras páginas similares a la tuya para darte ideas acerca de cómo puedes recabar la información. Esto puede ser muy interesante para obtener otro punto de vista en tu camino de adaptación a la nueva ley.

Así pues, no lo dudes más y estudia qué es lo que hace la competencia. Quizás obtengas información útil para tu web.

Ahora que conoces toda esta información, espero que tengas más claro cómo adaptar tu WordPress al RGPD y que lo lleves a cabo de la forma más sencilla y adecuada posible.

imagen

¿Quién es, en cada situación, el responsable de los datos personales?

Sabemos que muchas veces es difícil saber quién es el responsable de los datos personales según el RGPD. Es importante aclarar el concepto, ya que es una figura que suele confundirse con el encargado muy a menudo. Por ello, lo primero que queremos es que conozcas al protagonista de este post.

El responsable de datos personales en el RGPD

El responsable de datos personales en el RGPD es una persona física o jurídica, o bien una autoridad pública. También puede serlo un servicio u otro organismo que ya sea solo, o junto con alguno de los anteriores que te hemos mencionado, determina cuáles son los fines y los medios del tratamiento de los datos.

No obstante, debemos hacer un matiz sobre este concepto. El derecho de la Unión Europea de los Estados Miembros es el que determina cuáles son los fines y los medios del tratamiento. Por otro lado, los criterios para nombrar al responsable de tratamiento podrá establecerlos tanto el derecho de la UE, como el de los Estados Miembros de la misma.

Por otro lado, debemos aclarar que la definición de la figura del responsable del tratamiento deja clara cuál es la diferencia con el encargado del tratamiento. No obstante, por si acaso te queda alguna duda, te la aclaramos: el encargado tan solo se limita a tratar la información personal por cuenta de aquel.

Es decir, que será el responsable y no el encargado, el que tome las decisiones sobre el tratamiento de datos personales, exceptuando tan solo aquellas que se tomen por cuestiones técnicas y organizativas. Pues estas últimas puede delegarlas el responsable.

También es fundamental que tengas en cuenta que el hecho de que exista un encargado de tratamiento depende enteramente de la decisión del responsable. El responsable decidirá si trata los datos personales él solo por sí mismo o si preferirá encargar dicho tratamiento a otra persona, ya sea esta física, jurídica o incluso ajena a la empresa u organización del responsable.

¿Quién es el responsable de los datos personales en cada situación?

Como has podido ver, el Reglamento (UE) 2016/679 establece que puede ser tanto una persona física como una jurídica o una Administración Pública. Pero ¿no te parece una definición demasiado amplia? Si solo nos basamos en ella, ¿cualquier persona física o jurídica que decida una cuestión sobre cómo tratar datos personales será responsable del tratamiento?

La respuesta es que no. El papel fundamental que tiene un responsable de tratamiento es establecer quién asume la responsabilidad de cumplir las normas sobre protección de datos. También, determinar de qué forma pueden los interesados ejercer sus derechos en la vida práctica. Es decir, de acuerdo con el Reglamento Europeo de Protección de Datos, el responsable es quien designa la responsabilidad.

Cuando es responsable de datos una persona física

Una persona física puede ser responsable de datos cuando no se le puede aplicar una excepción por ser de uso doméstico. Es decir, imagina una agenda de contactos. Podría ser también de uso doméstico, por lo que no es posible que sea la persona física la responsable del tratamiento.

Cuándo es responsable de datos una persona jurídica, autónomo o Administración Pública

No hay demasiadas limitaciones para este tipo de responsables del tratamiento. Según el RGPD, cualquiera de estas tres figuras: autónomo, Administración Pública o persona jurídica, pueden ser responsables del tratamiento prácticamente siempre.

El Reglamento Europeo de Protección de Datos (RGPD) aplicado a responsables fuera de la UE

Hay una importante cuestión que debes tomar en consideración. Nos referimos a los límites en el ámbito de aplicación del RGPD. Con carácter general, el reglamento se aplicará al tratamiento de datos personales dentro del ámbito de las actividades de un establecimiento que pertenezca al responsable del tratamiento, según el artículo 3. Es decir, que no importa que el tratamiento se dé en la Unión Europea o no, el RGPD será aplicable.

Lo fundamental es que prestes atención a dónde se encuentra el establecimiento del responsable del tratamiento y no el lugar concreto donde se traten los datos. La razón es que el lugar del establecimiento es lo que determina que el RGPD sea aplicable.

Incluso en aquellos casos en los que el responsable acude a otro encargado de tratamiento y este último no esté establecido dentro del territorio de la Unión Europea, pues ten en cuenta que el establecimiento del responsable sí está en dicho territorio. No obstante, lo que si debemos aclararte es que el supuesto que acabamos de ponerte, supondría una transferencia internacional de datos.

El establecimiento del responsable

El establecimiento del responsable del que te acabamos de hablar es un concepto que también es necesario aclarar. Un establecimiento implica el ejercicio de una actividad de forma real, efectiva y mediante modalidades que sean estables. No importa que dichas modalidades sean filiales con personalidad jurídica o sucursales, pues no es este el factor fundamental que tenemos que tomar en consideración.

Por otro lado, si el responsable del tratamiento se encontrara establecido en diferentes Estados Miembros, debemos atender a cuál es su establecimiento principal para determinar el ámbito de aplicación del RGPD. Por establecimiento principal entendemos que es el lugar donde lleve a cabo su administración central dentro de la Unión Europea.

La excepción es que las decisiones sobre los objetivos y los medios del tratamiento de dato se tomen en un establecimiento diferente, el cual tenga la capacidad de hacer ejecutar dichas decisiones. En este caso, debemos entender que se trata de este el establecimiento principal.

Para finalizar, te vamos a contar dos supuestos en los que el RGPD resulta aplicable a un responsable aunque no se encuentre su establecimiento dentro del ámbito de la Unión Europea. Es el caso al que se refiere el artículo 3 del RGPD. En su apartado dos establece que el RGPD será aplicable a aquellos tratamientos que se relacionen con la oferta de bienes o servicios a interesados en la UE, sin importar si a estos al final se les requiere o no un pago).

En conclusión, para saber quién es el responsable de los datos personales hay varios criterios que puedes aplicar. Además, esta información debe ser transparente para las personas físicas que quieran ejercitar sus derechos contenidos en el Reglamento Europeo de Protección de Datos.

imagen

¿Cómo se protegen los datos en los medios de comunicación?

Saber cómo se protegen datos en los medios de comunicación RGPD es fundamental para evitar problemas y demandas. En realidad, la protección de datos ya se aplica desde hace varias décadas en este ámbito, pero con el advenimiento de nuevas normativas como el RGPD se ha reforzado esta cuestión. En el artículo te explicamos los puntos que has de considerar para no tener problemas y hacemos un recorrido histórico por las distintas normativas que ha habido en nuestro país.

Protección de datos en Mass Media

El primer texto legislativo que hablaba de protección de datos Mass Media, derivada como intimidadderecho al honor y a la propia imagen fue la Constitución Española de 1978, concretamente en el artículo 18. En la práctica, este aspecto ya limitaba la información que se podía difundir de menores de edad o personas no condenadas por sentencia firme. Únicamente en determinados casos había la posibilidad de incluir la información de un criminal convicto antes del juicio o hablar de la situación procesal de personajes públicos, caso de los políticos o cantantes.

Ahora bien, cuando hablamos de protección de datos, solemos referirnos la mayoría de las veces a la gestión que hacemos de estos y la presencia de Internet ha hecho que aumente la complejidad de las interacciones entre el medio, los usuarios y la sociedad. El Reglamento Europeo de Protección de Datos es un desafío para todos los medios de comunicación y saber qué aspectos conviene trabajar es fundamental para que no haya contratiempos en el futuro.

Cómo se aplica el RGPD a los medios de comunicación

Has de tener en cuenta que, cuando los medios de comunicación interactúan con el usuario, ya están recopilando una información a través de las cookies; eso genera un tratamiento de datos. Otro aspecto igualmente importante está en aquellos formularios de membresía que se solicitan para una inscripción a un servicio de pago o, simplemente, para ofrecer información. En estos casos, te conviene tener en cuenta los siguientes aspectos:

1. Diferencias entre las legislaciones nacionales: la LOPD como referencia

El RGPD indica expresamente en su artículo 85 la posibilidad de que los Estados legislen de oficio para delimitar las fronteras entre el derecho a la información y expresión y la necesaria salvaguarda de la protección de datos personales. Ahora ben, sí se indica claramente que la protección de datos no tiene por qué prevalecer siempre frente a la libertad de expresión y que hay determinados casos en los que se podría realizar una recogida de datos sin consentimiento por motivos de interés general.

Esto significa que la LOPD tiene una importancia capital a la hora de determinar cuáles son los límites a la libertad de expresión para salvaguardar derechos individuales. ¿Y qué nos dice? Básicamente, que si accedes a una base de datos pública o a una fuente de información pública, no tendrás ningún problema para recabar la información. El tratamiento de determinados datos sin consentimiento como los que contienen los sumarios judiciales, los registros mercantiles o los referentes a miembros de administraciones públicas se pueden utilizar.

Eso sí, siempre tendrás que tener presente que la utilización extraordinaria de datos personales tiene que justificarse en motivos de interés informativo. Por ejemplo, difundir datos acerca del domicilio de una persona si no hay una razón que lo justifique estará violando la normativa, aunque se trate de personajes públicos. En este sentido, los códigos deontológicos de periodismo suelen ser la guía para evitar problemas que podrían derivar en sanciones por parte de la AEPD y de los tribunales de justicia ordinarios.

Has de saber que hay elementos que contempla el RGPD que no se pueden incluir en este caso. Por ejemplo, el denominado derecho al olvido no se aplicaría porque entra en colisión con el derecho a la información; en consecuencia, no hay posibilidad de solicitar la eliminación de determinados datos.

2. Consentimiento explícito de los usuarios

Cuando no se trata de recopilar datos para una investigación sino, más bien, de recabarlos para otros menesteres comerciales, tienes que aplicar el principio del consentimiento explícito por parte del usuario. Por lo tanto, tienes que preparar tus formularios de aceptación para que puedan recibir información o navegar con la presencia de cookies. Ambos aspectos serán fundamentales para que, a la larga, no tengas ningún problema.

Además, recuerda que tienes la necesidad de indicar la finalidad del tratamiento de los datos, de manera que la previsión se convierte en un elemento fundamental. En la práctica, cuando trates con un cliente vas a tener que aplicar las mismas medidas que cualquier otra empresa y, por esa razón, te interesa estar al día de las exigencias que te marca la legislación.

3. Autorregulación

La autorregulación es una condición sine qua non de la RGPD y que supone un cambio cualitativo con respecto a la LOPD. Los medios de comunicación suelen tener servidores grandes y una cantidad elevada de archivos que tienen que gestionar. Piensa que, con la actual legislación, tendrás que nombrar a un DPO (Delegado de Protección de Datos) que supervise el cumplimiento de la misma y que, en caso de incidencia, tienes que avisar a la AEPD en un máximo de 72 horas.

Una parte buena es que ya no tienes que enviar continuamente informes a la AEPD como antaño porque el RGPD sobreentiende que ya te vas a dedicar tú de estas cuestiones. Por lo tanto, vas a tener que dedicarle más atención a este aspecto para anticiparte.

Conclusión

Una vez que sepas cómo se protegen datos medios de comunicación RGPD, te conviene implementar las medidas con una consultoría de confianza que te ofrezca garantías. En consecuencia, te animamos a que conozcas mejor todo lo que podemos hacer por ti en clickDatos. Estamos convencidos de que a largo plazo te cundirá porque sabrás qué puedes hacer y qué no, captando información cuando sea lícita y gestionando con profesionalidad las relaciones con los usuarios. Evitar sanciones millonarias de hasta el 4 % de la facturación o 20 millones de euros es una motivación lo suficientemente poderosa.

imagen

¿Por qué tienes que informar sobre las cookies?

Si tienes un website que utiliza cookies (y eso es lo más probable) estás obligado a informar al usuario de su existencia y de que las estás utilizando; además, tienes que notificar la finalidad de uso y garantizar los derechos ARCO. Las cookies son archivos que almacenan información sobre el historial de navegación de un usuario en una página web, usualmente para conocer mejor sus gustos y sugerirle alternativas. En este artículo te damos más detalles de por qué informar de las cookies RGPD, LOPD y LSSI.

Por qué informar de las cookies LOPD, la LSSI y el RGPD

El primer aspecto que has de tener en cuenta cuando utilizas cookies es que estás realizando un tratamiento de datos; esto, de por sí, ya te obliga a contar con el consentimiento del usuario, aunque los primeros años no se solicitaba. Incluso con la LOPD en la mano, ya se obligaba a notificar el uso de las cookies para evitar problemas. La resolución 2.990/2013 de la AEPD cubría un vacío e indicaba expresamente la obligatoriedad por parte del dueño de la web de informar al usuario cuando este accedía.

La existencia de archivos como las cookies ya se contemplaba en la LSSI de 2002, de manera que la utilización de este tipo de herramientas no nos resulta extraña ni extemporánea. Ahora bien, sí es cierto que durante algunos años hubo un vacío legal con respecto a la licitud de tomar estos datos sin preguntarle al usuario. Al principio se consideraba que era suficiente con un consentimiento tácito pero la autoridad española de protección de datos acabó regulando este aspecto de manera más estricta. El aumento exponencial del tráfico en la red obligó a contemplar este tipo de situaciones que se habían generalizado.

En consecuencia, no estamos ante una novedad y, desde 2013, cuando entras en una página web lo primero que hacen es pedirte el consentimiento para seguir navegando, a lo que se responde con un sí o no en el momento. Es importante destacar que esto lo van a hacer una sola vez, de manera que en ocasiones sucesivas no tendrás que solicitar ese consentimiento. Dicho de otra forma, aunque el usuario estará siempre en su derecho de revocar el consentimiento, tendrá que notificártelo, pero tú ya lo tendrás desde la primera vez; solo tendrás que modificarlo en caso de cambiar las condiciones de uso.

Sin embargo, si hay un aspecto importante del Reglamento Europeo de Protección de Datos es que se han reforzado estas garantías, en la línea de que el usuario tenga más claves para defenderse de situaciones abusivas. Te explicamos brevemente por qué informar de las cookies según el RGPD.

Por qué informar de las cookies según RGPD

El objetivo declarado del RGPD es reforzar los derechos del usuario y, como no puede ser de otra manera, esto también llega a la política de cookies que desees aplicar. Has de recordar que hay distintos tipos de cookies pero sí una legislación genérica. En consecuencia, se han promulgado una serie de códigos más exigentes que podemos resumir en que el consentimiento expreso es imprescindible. Como principio general, si tienes un negocio vas a tener que conseguirlo.

Se considera que las cookies que pueden identificar a un usuario y generar un perfil son datos personales. Por lo tanto, se aplicarán todas las disposiciones relacionadas con el tratamiento de datos que prevé esta legislación en temas como el almacenamiento, tratamiento o consentimiento expreso. En caso de que no se haya dado ninguna de estas situaciones, estarás infringiendo la ley con las posibles consecuencias conocidas. El principal problema está con el RGPD, pero no es baladí recordar que las sanciones que impone la autoridad de datos no son incompatibles con las consecuencias penales que se puedan derivar.

Otro motivo de peso por el que deberías cumplir con lo que estable el RGPD para cookies es el aumento de las sanciones, que ha sido exponencial. Un ejemplo claro es que hoy por una falta grave se paga un máximo de 10 millones de euros o el 2 % de la facturación si hablamos de una empresa.

Cómo informar de las cookies

Una vez que contamos con la obligatoriedad de informar y de obtener un consentimiento expreso e inequívoco del usuario, es importante saber cómo vamos a implementar esto a medio y largo plazo. Te damos unas sencillas pautas para que no tengas problema a la hora de realizar esta gestión.

1. En primer lugar, ten claro cuál va a ser el alcance del tratamiento de datos para notificarlo en su momento y preparar un texto que esté plenamente adaptado a las necesidades del cliente. Recuerda que el RGPD te obliga a explicar al usuario para qué vas a utilizar la información que obtengas. En caso de duda, estás obligado a aplicar un criterio lo más restrictivo posible. Si no hay claridad en este criterio, va a ser mucho más difícil seguir trabajando.

2. Por otra parte, es importante que la obtención del consentimiento sea fácil de lograr y accesible para el usuario, porque no puedes perder el tiempo y conviene que haya facilidades. Este es el motivo por el que la mayoría de las empresas incluyen el aviso de cookies al inicio de la navegación y facilitando un “sí” o un “no” por parte del usuario. Has de saber que esa interacción ya es válida para que puedas defender tus derechos ante la AEPD.

Conclusión

Si ya saber por qué informar cookies RGPD y el procedimiento que tienes que llevar a cabo, lo más práctico es que cuentes con el asesoramiento profesional de una consultora especializada en la materia. La experiencia nos dice que este método te servirá para ahorrar tiempo y, a la postre, dinero. Invertir en una política de protección de datos clara y ajustada a derecho es la mejor manera de evitar problemas que se deriven en sanciones y, afortunadamente, nosotros te podemos ayudar si así lo deseas. En clickDatos nos encargamos de actualizar tu política de datos a lo que demanda el RGPD para que ganes en seguridad jurídica.

imagen

La grabación de imágenes con fines distintos a la Seguridad y el RGPD / LOPD

¿Son legales las grabaciones en la vía pública? ¿Y en los centros educativos? Aquí te explicamos en qué casos aplica (o no) el RGPD / LOPD y otras leyes que puedan legitimar este tipo de grabaciones que quedan fuera del ámbito de la seguridad privada.

 

Control de tráfico

Corresponderá a las Administraciones Públicas con competencia para la regulación del tráfico, autorizar la instalación y uso de estos dispositivos, adoptando una resolución a tal efecto, conforme dispone el RDL 6/2015.

 

Control de accesos a zonas restringidas de tráfico

Este acceso se controla mediante cámaras que captan la matrícula de un vehículo para comprobar si el mismo puede acceder o no a la citada zona, sin que sea necesario captar la imagen de los ocupantes para la finalidad descrita.

 

Centros educativos

Respecto a las grabaciones y toma de fotografías de las imágenes de los menores en festivales de navidad, pasacalles o eventos similares, se encontrarán habitualmente encuadrada en el ámbito personal y doméstico y, por tanto, excluido de la aplicación del RGPD, en virtud de lo previsto en su artículo 2.2.c), en la medida en que las imágenes sean tomadas por los padres para sus fines eminentemente familiares.

 

Sanidad y centros de asistencia

Sin perjuicio de la instalación de cámaras en centros de salud y hospitales con la finalidad de garantizar la seguridad, la toma y grabaciones de imágenes podrían usarse con la finalidad de asegurar un tratamiento adecuado de la salud, como sería el caso de la monitorización de pacientes en las unidades de vigilancia intensiva, o la telemedicina.

 

Investigación científica y usos afines

El RGPD dedica un artículo específico, el 89, al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, indicando que estará sujeto a las garantías adecuadas para los derechos y libertades de los interesados, disponiendo de medidas técnicas y organizativas, en particular para garantizar el principio de minimización de los datos personales, pudiendo incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines.

 

Grabaciones de órganos colegiados de las AAPP y asambleas

En el ámbito de las Administraciones Públicas, la Ley 40/2015, de Régimen Jurídico del Sector Público, ha previsto que se puedan graban las reuniones que celebren los órganos colegiados, pudiendo el fichero resultante de la grabación acompañar al acta de las sesiones. Estas grabaciones deberán conservarse de forma que se garantice la integridad y autenticidad del citado fichero, así como el acceso al mismo por parte de los miembros del órgano colegiado.
Por lo que se refiere a las grabaciones de asambleas (por ejemplo, en asociaciones, comunidades de propietarios o sociedades mercantiles), la grabación sería válida por el artículo 6.1.f) del RGPD en base al interés legítimo.

Éstos son algunos de los aspectos a tener en cuenta para una correcta aplicación del RGPD, sin perjuicio de encontrar nuevas situaciones con el desarrollo tecnológico actual, como pueden ser las cámaras “on board” o los drones.

¿Quién es, en cada caso, el encargado de los datos personales?

Saber quién es el encargado de los datos personales y diferenciar sus atribuciones de las del responsable es importante para que no tengas problemas a la hora de implementar tus políticas de protección de datos. En este artículo explicamos con detalle cómo funcionan ambas casuísticas y las medidas a tomar al respecto para hacerlo correctamente. También hablaremos de los servicios que te ofrecemos en clickDatos.

Encargado de datos personales RGPD

La figura del encargado de datos se contempló por vez primera en la LOPD de 1999, concretamente en el artículo 12 de este texto. Por lo tanto, no estamos hablando de una figura extraña o que no tenga precedentes en la legislación española. En muchas ocasiones, es necesario firmar un contrato o realizar gestiones ordinarias en nombre del responsable para poder encargarse de la operativa ordinaria de los datos. La persona, empresa u organización que las realiza es el denominado encargado de datos personales.

Un aspecto fundamental cuando trabajamos con la LOPD es que el encargado de datos personales puede coincidir o no con el responsable. Lo habitual es que se disocien ambas funciones, tanto en empresas grandes como en pymes, así que raramente coinciden ambas personas. No obstante, cabría la posibilidad de que el encargado de los datos coincidiese con el responsable; ten en cuenta esta cuestión para que no haya problemas y para delimitar bien lo que necesites en tu empresa o negocio.

Como lo más común es que se contrate a una empresa que se encargue del tratamiento de los datos, previa delegación del responsable, has de tener claros los límites en las responsabilidades. La legislación da una capital importancia a la limitación de la utilización de datos en determinados aspectos y se consideraba una falta leve en la LOPD.

Firmar un contrato

Es habitual que las empresas subcontraten esta función a un tercero. Cuando así sucede, se firma un contrato de prestación de servicios en el que queda clara cada función que tiene que realizar el responsable. Además, es fundamental que en el texto conste cuál va a ser el periodo de almacenamiento de los datos y la destrucción de los mismos en caso de que finalice la relación contractual.

Responsable de datos personales RGPD

El responsable de datos personales es la persona que, en última instancia, tiene que enfrentarse a los requerimientos de la Administración. En caso de que haya sanciones, es quien responderá legalmente. Normalmente, es la empresa o entidad pública la que se tiene que responsabilizar. Hay varias funciones que tiene que cumplir esta figura:

1. Inscripción ante la AEPD

Como primera medida, es obligatorio inscribir a la empresa o entidad en la AEPD, concretamente en el Registro General de Protección de Datos. Esta es la condición básica para cumplir con la normativa de datos, en principio la LOPD y posteriormente el RGPD.

2. Secreto

Mantener el secreto es una obligación reforzada porque la intimidad y el secreto de las comunicaciones están consideradas derechos fundamentales por el artículo 18 de la Constitución Española. Por lo tanto, solo puedes romper con el sigilo profesional en los casos de comisión de delitos, investigación científica o histórica o de interés general.

3. Informar

Tienes la obligación de informar al usuario de que vas a utilizar sus datos personales y notificar los límites del tratamiento de los mismos. Es más, también estás obligado a recabar su consentimiento expreso e inequívoco para que puedas utilizar sus datos personales.

4. Implementar medidas de seguridad

Como encargado de los datos personales, tendrás que trabajar para implementar las medidas de seguridad que exige el trabajo. En primer lugar, tienes la responsabilidad de nombrar a un Delegado de Protección de Datos (DPO) que se encargue de supervisar el cumplimiento de tus funciones. Por otra parte, tu obligación es notificar a la AEPD en un plazo máximo de 72 horas.

Cómo evitar problemas por una mala praxis

Una vez que sabes que el encargado y el responsable de los datos no tienen por qué coincidir y que lo normal es que se delegue la primera función en una empresa especializada, hay dos aspectos que deberías tener presentes. Normalmente, lo mejor es contar con una consultoría especializada que pueda ayudarte antes, durante y después de la recogida de datos para su correcto tratamiento.

1. Analiza la situación de tu empresa

Saber cuál es la situación de partida de tu empresa o entidad en protección de datos es fundamental para que no tengas problemas. Esto supone, de entrada, analizar todos los posibles riesgos para darles respuesta con la política que vas a implementar. La mayoría de los autónomos no saben por dónde empezar y, por ese motivo, delegan las funciones en algún profesional que sepa sobre el asunto.

2. Monitorizar la protección de datos

Más allá del cumplimiento de tus obligaciones en protección de datos, hay que supervisar el correcto cumplimiento. No hay que olvidar que uno de los principios en los que más insiste el Reglamento Europeo de Protección de Datos (RGPD) es el de autorregulación. En consecuencia, convendrá que nombres a un Delegado de Protección de Datos (DPO) que controle puntualmente la evolución de las operaciones.

3. Defenderse ante las autoridades

En el caso de que haya un expediente por parte de la AEPD, es bueno que cuentes con especialistas en protección de datos que puedan defender tus intereses. Esto es, precisamente, lo que te ofrecen las consultorías, una defensa jurídica a posteriori para minimizar los perjuicios o eliminarlos. Muchas veces, se aprueban sanciones por desconocimiento porque el responsable de protección de datos desconoce cómo defender sus derechos.

Conclusión

Una vez que seas consciente de quién es el encargado de los datos personales, te conviene saber cómo hay que trabajar, delimitar las responsabilidades y así evitar problemas. Te animamos a que contrates a una consultoría especializada para que te ayude en esta labor; en clickDatos te podemos ayudar. Estamos convencidos de que mejorarás tu tratamiento de datos gracias a nuestros servicios; hoy es más sencillo garantizar un seguimiento profesional de esta cuestión si lo deseas.

imagen