El acceso a redes wifi públicas y su relación con el RGPD

Aplicación del RGPD respecto a redes WIFI

El Nuevo Reglamento Europeo sobre Protección de Datos 679/2016 (RGPD), establece nuevas obligaciones para las empresas que pongan a disposición de sus clientes una Red Wifi gratuita o de pago. En la actualidad son muchas las empresas que han invertido en la instalación de estas redes para darles a sus clientes un servicio altamente demandado y un valor añadido al servicio que prestan.

Con la entrada en vigor del RGPD, dicha actividad se considera un tratamiento de datos personales, por lo que la normativa de protección de datos será exigible al titular de la red WIFI, quien deberá poner las medidas oportunas para el cumplimiento de la normativa.

A partir de ahora no será posible acceder a redes Wifi abiertas que no requieran la identificación previa del usuario; será necesario instalar un sistema de identificación (HotSpot) que les exija la aceptación de unas condiciones (Política de privacidad, aviso legal y condiciones de uso en su caso) antes de permitirles el acceso.

Un hotspot es un punto de acceso que ofrece conexión a Internet a través de una red inalámbrica y un enrutador, conectado a un proveedor de servicios de Internet. Debido a que la comunicación se establece mediante ondas, las posibilidades de que sea objeto de un ataque o que una persona ajena se apodere de la red son significativas, por lo que se impone la necesidad de que dicha conexión sea segura y cifrada.

 

Obligaciones con respecto a la normativa de protección de datos

Considerando que el reglamento es de aplicación, como hemos mencionado anteriormente, tendremos que cumplir los mismos requisitos y obligaciones establecidos para cualquier otro tratamiento de datos:

  • Cumplir con los principios de transparencia del Artículo 5.1.a. del RGPD, y el derecho de información del artículo 13 RGPD (finalidades, legitimación, base jurídica del tratamiento, plazos de conservación, derechos del interesado, identificación del responsable y su dirección de contacto). Normalmente esta información se facilita a través de la página de acceso a la red WIFI (portal cautivo), mediante la política de privacidad incluida en las condiciones de uso de la red WIFI.
  • Se deberá formalizar con los prestadores que accedan de forma directa o indirecta a los datos personales de los usuarios de la red WIFI, el correspondiente acuerdo de tratamiento de datos con arreglo al artículo 28 RGPD.

 

Medidas de seguridad aplicables

Se deberán identificar y analizar los riesgos asociados al tratamiento de los datos personales, y por tanto para los derechos y libertades de los interesados. El análisis debe abarcar desde, la parte de seguridad de la red, el almacenamiento, las copias de seguridad, etc., hasta lo relativo a los permisos y usuarios, el lugar de almacenamiento de los datos, e incluso la elección de prestadores de servicio que tengan acceso de forma directa o indirecta. En definitiva se deberá crear un entorno de navegación seguro identificando y gestionando el registro de usuarios.

 

¿Puedo usar los datos de los usuarios WIFI para enviarles publicidad?

La finalidad de un punto de acceso Wifi es la de acceder a la red, y NO cualquier otra diferente a aquella.

Si se pretende utilizar los datos recabados a través de esta Wifi para otros fines, es obligatorio informar de dichas finalidades al usuario, y en el caso del envío de publicidad o comunicaciones comerciales, es imprescindible contar con el consentimiento del destinatario como así lo indica el artículo 21 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

El Responsable debe recabar tal consentimiento adecuadamente y ser capaz de demostrarlo en caso de ser necesario. El consentimiento para el envío de publicidad puede obtenerse en el momento de facilitar al usuario la clave de acceso a la red WIFI, o de una casilla de verificación en la página de acceso a la red WIFI. Eso sí, el consentimiento deberá ser expreso en todo momento, independientemente del método utilizado para lograrlo y se deberá informar sobre la posibilidad de retirarlo en cualquier momento así como del procedimiento para hacerlo.

¿Cómo influye el RGPD en el sector de la videovigilancia?

La vigilancia por vídeo supone un tratamiento de datos de carácter personal. Por tanto, debe ajustarse a los principios que establece la normativa sobre protección de datos. Pero, ¿cómo influye el RGPD en la videovigilancia exactamente? Te lo contamos.

La LOPD en la videovigilancia

Cuando tratas imágenes mediante distintos sistemas de captación con fines de seguridad, debes valorar tanto la legitimación para utilizar dichos sistemas como los principios que nos limitan la finalidad de los datos. También, debes tener en cuenta que los datos que recojas deben ser minimizados, de acuerdo con el artículo 5 del Reglamento Europeo de Protección de Datos y la LOPD en videovigilancia.

Son varias las actuaciones necesarias para que los tratamientos se adapten completamente al RGPD. Queremos analizar contigo los aspectos más relevantes, de acuerdo con el principio de responsabilidad proactiva.

La legitimación en la videovigilancia

La Agencia Española de Protección de Datos (AEPD) nos desarrolla todos los aspectos que podemos ver tasados en el artículo 6 del reglamento. Uno de los más importantes es el permiso para el tratamiento cuando este sea necesario para cumplir una misión de acuerdo con el interés público.

Si tienes en cuenta que el objetivo principal de la videovigilancia es garantizar la seguridad de las personas, así como de los bienes y las instalaciones, puedes encontrar la legitimación del tratamiento en el interés público mencionado. Así, puedes encontrarlo expresado en los informes de la AEPD con respecto a la legitimación.

El principio de proporcionalidad en la vigilancia por vídeo

El Reglamento Europeo de Protección de Datos dispone que los datos que recogemos deben tener unos fines determinados. En base a este principio puedes encontrar limitada la finalidad. Además, a ello se añade que la información personal no será tratada ulteriormente de forma incompatible con estos fines.

Por tanto, si instalas una cámara, deberás utilizar los datos que obtengas con su uso únicamente para el objetivo que te ha llevado a instalarla. A su vez, deberá estar dirigida tan solo a garantizar la seguridad de tus bienes, de tus instalaciones y sobre todo, de las personas que se encuentran en ellas. Hay todo tipo de regulaciones según los establecimientos donde las instales o para tu vivienda.

Si a lo que te hemos mencionado hasta ahora le añades el principio de minimización de los datos, recogido en el artículo 5 del RGPD, tendremos el principio de proporcionalidad. Los datos personales deberán no solo limitarse a lo necesario, sino también ser adecuados y pertinentes.

Existen espacios donde el uso de la videovigilancia podría ser desproporcionada. Por ejemplo, si la instalas en vestuarios, cuartos de baños o taquillas. También, en un spa, la instalación de una videocámara tiene una regulación delicada.

La responsabilidad proactiva en la videovigilancia

El mismo artículo 5 del que te hemos hablado recoge el concepto de la responsabilidad proactiva como principio fundamental del tratamiento de datos personales. Pero ¿en qué consiste?

La responsabilidad proactiva es tu capacidad como responsable de poder demostrar las medidas que impone el RGPD para garantizar tratamientos adecuados y proporcionados. Algunas de estas medidas son el registro de actividades de tratamiento, el análisis de riesgos, así como medidas varias de seguridad.

También, es importante que hagas una evaluación de impacto en la protección de datos y que refuerces la privacidad mediante una regulación desde el diseño y por defecto. Lo que sí debes saber, es que todas las medidas no son obligatorias en cada caso, sino que depende de la relación que tengas como encargado o responsable con la otra parte o de la conservación de imágenes, entre otros factores.

Relaciones entre encargados y responsables del tratamiento de imágenes

Si hay otra persona que pueda acceder a las imágenes de la cámara, el acceso tendrá que estar regulado a través de un contrato o acto jurídico. Es decir, que como responsable no puedes permitir que nadie se haga cargo de las imágenes de tu cámara, salvo acto con arreglo al Derecho Europeo.

Si llevas a cabo un contrato del modo que te hemos señalado, tendrás que añadir cuál es el objeto, el fin, la naturaleza y la duración del mismo. La persona que ahora tiene acceso será el encargado.

El encargado de tratamiento de datos que elijas deberá tener garantías suficientes para el mantenimiento y la implantación de las medidas técnicas y organizativas adecuadas y respetuosas con el RGPD. Por tanto, existe un deber de diligencia a la hora de que selecciones al responsable.

Conservación de las imágenes

El plazo máximo será de un mes. La excepción es que haya un supuesto por el cual deba conservarse para demostrar la comisión de actos que vayan en contra de la integridad de las personas, de las instalaciones o de los bienes.

Derechos de los afectados

Las personas grabadas pueden ejercitar sus derechos ante el responsable o encargados. De lo que te estamos hablando es de los famosos derechos ARCO (acceso, rectificación, supresión y oposición). Sin embargo, estos derechos pueden matizarse en el sector de la videovigilancia.

Por la naturaleza de la videovigilancia en sí, debemos aclararte que los derechos ARCO se refieren a la cancelación cautelar. Esta se refiere a los derechos de rectificación y de oposición.

Comunicación a terceros sobre las imágenes

En la videovigilancia, es común que no haya consentimiento para el tratamiento de estas imágenes, aunque sí un aviso a las personas que están siendo grabadas. Cuando las imágenes tienen como destinatario a los Tribunales, la comunicación es una obligación legal, de acuerdo con el art. 236 de la LO 6/1985, de julio, del Poder Judicial.

Por último, debemos aclarar que si las Fuerzas y Cuerpos de Seguridad solicitan imágenes para prevenir un peligro real, para reprimir una infracción penal o para garantizar la seguridad pública, la legitimación se recoge en el RGPD.

En conclusión, para saber cómo influye el RGPD en la videovigilancia debemos tener en cuenta numerosos aspectos. No obstante, aquí tienes los más importantes para que si vas a instalar una cámara en tu empresa, vivienda u otro edificio, sepas qué papel te corresponde como encargado o responsable, y cómo adecuarte al RGPD.

imagen

¿Quiénes han de contar con un Delegado de Protección de Datos?

El Delegado de Protección de Datos (DPO por sus siglas en inglés) es una figura que viene creada por el Reglamento General de Protección de Datos (RGPD). Por esta razón, aún hay muchas dudas acerca de este profesional y en este texto, vamos a hablar sobre qué es este profesionalidad y quiénes un Delegado de Protección de Datos necesitan.

¿Qué es el Delegado de Protección de Datos (DPO)?

El DPO es el encargado de garantizar que la nueva normativa de protección de datos se cumpla en la empresa que lo tiene contratado. Lo principal que has de tener claro es que esta persona debe haberse formado para obtener conocimientos especializados de legislación y práctica en materia de protección de datos. Aunque no es necesario que cuente con una titulación específica, tiene que acreditar la tenencia y manejo de estos conocimientos.

Otro dato interesante es que este puede ser una persona externa a la empresa o que trabaje en ella. No obstante, si se opta por designar a un trabajador, este deberá dejar sus otras tareas y centrarse en la gestión de la recogida, almacenamiento y tratamiento de los datos.

Para entender mejor el papel de este profesional en una empresa debemos tener en cuenta sus funciones que son las siguientes:

– Informar y asesorar a los que se ocupen del tratamiento de los datos.

– Supervisión de los protocolos para adaptarlos a la nueva normativa europea y asegurarse que esta se cumple.

– Asesorar acerca de la evaluación del impacto relativa a la protección de datos y supervisión de su aplicación.

– Cooperación con las autoridades pertinentes y nexo de comunicación entre ellos y la entidad para la que trabaje.

Por último, debes tener claro que estas funciones están reguladas en el artículo 39 del RGPD al igual que la obligatoriedad o no de contratar a este profesional.

¿Cuándo es obligatorio contratar a este profesional según el RGPD?

A pesar de que se trata de una figura clave a la hora de mantener bajo control todo lo relacionado con la protección de datos, hay empresas que no están obligadas a tener esta figura. Así pues, vamos a exponer en qué casos sí es obligatorio contar con un DPO.

Artículo 37

Lo primero que has de tener en cuenta son los propios artículos del reglamento. En el número 37 se expone que contratar a este responsable de los datos es obligatorio en tres casos diferentes.

– Cuando se trata de un organismo o entidad pública.

– Cuando las actividades principales del tratamiento sean operaciones que necesiten un seguimiento continuo y sistemático de los interesados.

– Cuando la principal actividad se base en el tratamiento de los datos a gran escala de categorías especiales de datos o de aquellas informaciones relacionadas con condenas y delitos.

Pues bien, en estos supuestos hay que tener muy en cuenta tres factores en los que profundizaremos a continuación.

Actividades principales

Cuando en el artículo 37 del reglamento se habla de actividades principales, se hace referencia a que la recogida, almacenamiento y tratamiento de los datos ha de ser la función principal de la empresa en cuestión. Es decir, que si estos se recogen pero de ello no depende la función de la empresa, no existiría, en principio, necesidad de contratar un DPO. Aunque siempre es positivo contar con asesoramiento profesional.

De esta manera, una empresa que administrara perfiles de personas tendría la obligación de contratar un DPO. Ejemplos de ello son Facebook, 21Buttons, Twitter, Instagram…

Otra cuestión que se pone de manifiesto es el hecho de aquellas empresas en las que la recogida de datos fuese algo primordial. Esto es, sin necesidad de que sea la actividad principal, el desarrollo de la misma necesitase de la recogida de los mismos. Por ejemplo, los hospitales cumplirían con esta condición ya que, aunque su actividad principal es la de tratar a los pacientes, sin manejar sus datos les sería imposible.

A gran escala

Este es otro de los factores que hay que tener en cuenta. Ciertamente, “a gran escala” es un principio algo confuso. Por ello, ante la confusión se está esperando a que se enumeren momentos en los que se establezcan parámetros más caros.

Hasta ahora, hay que basarse en cuatro puntos clave:

– Número de personas afectadas.

– Volumen de datos o índole de los mismos.

– Duración o permanencia de la actividad de tratamiento.

– Alcance geográfico del tratamiento.

Seguimiento regular y sistemático

Este es el último factor a tener en cuenta. Pero en esta condición encontramos tres factores diferentes.

Seguimiento hace referencia a la monitorización de los datos. Ya sea por la creación de perfiles o para la inclusión de publicidad.

Cuando se hace referencia a “regular”, lo que se establece es que este tratamiento se haga de forma continuada o que se produzca en Intervalos concretos de forma recurrente o repetitiva. Es decir, que haya una periodicidad en el tratamiento y recogida de datos.

Por último, la palabra “sistemático” hace referencia a que exista el establecimiento de un sistema preestablecido con una organización o método concreto. Pero además, esta organización debe estar realizada como parte de un plan general de recogida de datos o como una estrategia de la propia empresa.

De esta manera, todas las compañías que cumplan todas o alguna de estas características han de tener claro que tienen que contratar un Delegado de Protección de Datos obligatoriamente.

Más datos interesantes sobre el DPO

Antes de acabar este artículo, no podemos dejar de mencionarte dos cuestiones interesantes sobre este profesional. La primera de ellas es que no puede ser despedido y la segunda que no puede recibir instrucciones por parte de la empresa. 

La figura del DPO está completamente blindada para que verdaderamente pueda convertirse en un enclave de control interno. Si la empresa pudiera despedirlo o mandar sobre él, su control se vería coartado por las represalias de la empresa.

Por este motivo, el reglamento deja muy claro la imposibilidad de darle instrucciones sobre su trabajo y, obviamente, de despedirlo. En cualquier caso, lo más importante es contar con verdaderos profesionales

Ahora que sabes quiénes un Delegado de Protección de Datos necesitan y en qué consiste su labor, te será mucho más sencillo entender quién ha de encargarse de tus datos dentro de las grandes empresas.

imagen

¿Cómo has de pedir ahora el consentimiento expreso de un cliente?

Seguramente, te habrás preguntado “¿cómo consentimiento expreso de RGPD?” cuando has oído hablar de lo que exige el nuevo Reglamento Europeo sobre permiso de tus clientes para manejar sus datos. Porque eso del consentimiento expreso te habrá parecido poco claro.

Y es que, hasta la entrada en vigor de la citada norma el pasado 25 de mayo, bastaba con que obtuvieses de aquellos una suerte de consentimiento tácito respecto al archivo y uso de sus datos personales. Sin embargo, ahora los requisitos para poder hacerlo se han endurecido, pasando a exigirte el mencionado consentimiento expreso.

Vamos a explicarte las principales diferencias entre uno y otro para que no tengas dudas y, sobre todo, para que no te veas sancionado con alguna de las importantes multas que prevé el citado RGPD en caso de mala práctica.

Consentimiento en LOPD y consentimiento en RGPD

Hasta el pasado 25 de mayo, la norma que estaba vigente respecto a la protección de datos era la LOPD. Esta igualmente te obligaba a obtener consentimiento de tus clientes respecto al archivo y utilización de sus datos. Pero, salvo para los especialmente sensibles como información médica o creencias religiosas, bastaba una especie de consentimiento tácito.

Este consistía por ejemplo, en algunas páginas web, en que ya venía marcada la casilla correspondiente y, si no querían prestarlo, tenían que desactivarla. Dicho de otra forma, era un consentimiento libre e inequívoco en el sentido de que exigía una omisión por parte del interesado: la de eliminar la citada casilla.

Podría decirse que el consentimiento en la LOPD era laxo. Sin embargo, el nuevo RGPD es más estricto al respecto. El consentimiento sigue siendo uno de los principios esenciales de la protección de datos, pero en este reglamento te exigen que seas mucho más minucioso al recabarlo y siempre ha de ser expreso.

El consentimiento en el Reglamento Europeo de Protección de Datos

El RGPD define el consentimiento como una afirmación libre del interesado mediante la cual acepta que sus datos sean archivados y tratados, pero solo para una finalidad determinada y bajo unas condiciones concretas respecto a las que debe estar informado con anterioridad.

Debes, por tanto, obtener un consentimiento explícito de tus clientes para manejar sus datos personales y tienes una responsabilidad proactiva respecto a ellos. Y ese consentimiento se rige por cuatro parámetros.

En primer lugar, deben estar informados. Ello requiere que les comuniques la finalidad para la cual deseas su información, como vas a utilizarla, el nombre de quien va a hacerlo y, finalmente, cuáles son sus derechos al respecto. Explicado con un ejemplo práctico. Tendrías que hacer saber a tus clientes que vas a usar su información para enviarles publicidad, dónde va a quedar archivada aquella, bajo la responsabilidad de quien y que les asiste el derecho a cancelar su consentimiento e incluso el derecho al olvido, este último una de las grandes novedades del nuevo Reglamento y del cual te hablaremos.

En segundo término, ese consentimiento debe ser dado en libertad. Para obtenerlo, por ejemplo, no puedes ofrecer descuentos en tus productos u otras condiciones.

En tercer lugar, tiene que ser específico. Ello significa que solo podrás utilizar los datos para la finalidad que les has explicado. Continuando con el ejemplo anterior, únicamente podrás usarlos para enviarles publicidad.

Finalmente, ese consentimiento debe ser inequívoco, es decir, tienes que hacer entender perfectamente a tu cliente a qué está dándolo. Así, no puedes camuflar la prestación del consentimiento entre las condiciones de un servicio que le vas a prestar.

Por otra parte, el Reglamento Europeo de Protección de Datos te exige una serie de condiciones para que el consentimiento que has recabado sea legítimo.

Primeramente, debes ser capaz de demostrar que han consentido en que trates sus datos personales, por ejemplo, guardando una declaración firmada por parte de ellos.

Asimismo, el consentimiento tiene que ser distinto. Es decir, en el mismo caso, que la citada declaración no se refiera, además, a otros temas. Igualmente, debe ser inteligible (en lenguaje llano) y de acceso sencillo para el cliente.

También tiene que prestarlo, como te decíamos, en absoluta libertad. No cabe la posibilidad de que lo haga, por ejemplo, supeditado a que realices un trabajo para él y luego uses sus datos personales con otra finalidad como la de enviarle publicidad.

Finalmente, has de saber que ese consentimiento puede ser revocado. Tu cliente puede rectificar su autorización en cualquier momento y debe tener la posibilidad de hacerlo de una manera tan fácil como le fue prestarlo.

Además y respecto a esta última condición, tenemos que hablarte del derecho al olvido. Es una de las grandes novedades del RGPD y está pensado especialmente para Internet, aunque es aplicable para todos los ámbitos. Consiste, básicamente, en que tu cliente tiene derecho a borrar todos sus datos que se hallen en la Red.

Pensemos, por ejemplo, en que tengas usuarios registrados en tu web. En su momento, lo hicieron por propia voluntad, pero ahora quieren borrar sus datos. Pues bien, estás obligado por el nuevo Reglamento a permitirles que puedan hacerlo por sí mismos.

Probablemente, te estarás preocupando al pensar cómo puedes hacerlo. Sin embargo, las nuevas tecnologías han pensado en todo y existen plugins para ello. Por ejemplo, Delete Me. Basta que lo añadas en tu página a disposición del cliente. No obstante, debe estar en un lugar de fácil acceso para él. Por ejemplo, en “Mi cuenta” a través de una nueva pestaña.

Si, en cambio, tienes un negocio físico y has solicitado del cliente el consentimiento mediante un documento escrito. Para garantizar su derecho al olvido puedes incluir adjunto a tal documento otro con el cual pueda ejercer ese derecho cuando quiera con solo enviártelo.

En conclusión, si te hacías la pregunta mencionada al principio (“¿cómo consentimiento expreso en RGPD?”), esperamos haberte aclarado las cosas. A modo de resumen, te diremos que el nuevo Reglamento Europeo de Protección de Datos es más estricto que la ley anterior. Te exige que recabes el consentimiento de tus clientes de forma libre, informada, explícita, clara e inequívoca. Y, además, estos deben tener la posibilidad de ejercer su derecho al olvido.

imagen

¿Hasta cuándo puedes conservar los datos personales?

Tienes la posibilidad de conservar datos personales por varios motivos, pero has de saber que hay unos límites temporales o de finalidad, tanto para entidades como para compañías con ánimo de lucro. En este artículo te explicamos con detalle hasta cuándo conservar datos personales según el RGPD y el protocolo que has de seguir en cada caso. Finalmente, haremos referencia a los plazos de prescripción que existen en determinados sectores.

Guardar datos personales RGPD: límites y plazos

Un aspecto que siempre tiene que seguir para guardar datos personales según el RGPD es la proporcionalidad. Esto significa que puedes guardar datos, pero solo si los necesitas y durante el periodo de tiempo estrictamente necesario para realizar tus funciones.

Hay, sin embargo, algunas excepciones que se sustraen a la norma y que tienen plazos mucho más largos de almacenamiento. Si los datos que hay que almacenar tienen interés histórico, científico o informativo, podrás guardarlos durante más tiempo sin ningún problema porque se entiende que son de interés general. En el caso de que haya un criterio interpretable, puedes implementar un plan propio.

Para cumplir mejor con estas exigencias que establece el Reglamento Europeo de Protección de Datos (RGPD), te sugerimos las siguientes pautas que te facilitarán el trabajo:

1. Autorregulación

Una de las novedades del RGPD es que tienes que prever con anticipación cuánto tiempo vas a almacenar determinados datos personales; de esta forma, tendrás un protocolo fijo para eliminar archivos cuando resulten innecesarios. Te sugerimos que antes de que venga la Administración, fijes tú un plazo para la eliminación de archivos cuando no haya claridad. Como principio general, cuantos menos datos tengas que guardar, mejor que mejor.

2. No recabar más datos de los necesarios

La LOPD ofrecía algunos vacíos normativos que se han intentado superar con el nuevo reglamento europeo, sobre todo a la hora de acotar qué datos tienes que recabar y cuáles no. En cualquier caso, no has de recabar más datos personales de los imprescindibles para realizar tu labor con garantías y, en caso de duda, hay que priorizar los derechos del usuario. Te aconsejamos que cuentes con un formulario que te hayan preparado previamente para que puedas hacer la recogida de información con claridad de criterios para el usuario.

3. Utilizar herramientas automáticas de borrado

De la misma manera que el Big Data se ha convertido en una de las disciplinas que más dinero hace ganar a las empresas, también puede generar muchos problemas si los métodos de uso no son lícitos. Utilizar un software de borrado de datos programado con cierta frecuencia te liberará de esta obligación y te permitirá minimizar los peligros. Has de tener en cuenta que el tiempo es oro y utilizar en la medida de lo posible este tipo de herramientas te facilitará la tarea; por lo tanto, te recomendamos que te plantees la posibilidad de invertir.

4. Emplea métodos de almacenamiento fiables

Contar con un servidor fiable es una necesidad para que no tengas problemas de phishing o robo de información. De la misma manera, encárgate de contar con un antivirus de calidad que pueda bloquear las amenazas externas que no puedas detectar a tiempo. Si le sumamos a este factor una gestión inteligente de los datos personales que almacenas, será más difícil que tengas problemas y minimizarás los problemas que se presenten.

Los periodos de prescripción

Has de saber que en algunos casos hay unos periodos de prescripción por ley que te obligan a conservar la documentación durante un determinado periodo de tiempo. A efectos legales, si no dispones de los documentos pasado ese tiempo, la Administración o un particular no tendrá derecho a reclamarlos. En los últimos años, la tendencia es a ampliar los plazos de prescripción, tanto para que la Administración reclame como para que lo haga el interesado; se trata, en definitiva, de que ganes en tranquilidad antes de decidir los plazos que vas a poner.

De todas formas, has de tener presente que hay muchos casos en los que no vas a tener la opción de limitar los plazos porque no hay una regulación. Queremos destacar los siguientes casos en los que sí hay una reglamentación:

Código de Comercio

El Código de Comercio establece que la documentación se tiene que conservar durante 6 años, puesto que ese es el periodo de prescripción estándar; se aplica a los libros contables, de gastos y de facturas. Este aspecto es el más importante porque, en cuestiones empresariales, suele ser el plazo más largo que se plantea para destruir documentación.

Tributos y Seguridad Social

Como principio general, los contribuyentes contáis con 4 años para realizar reclamaciones a la Agencia Tributaria, de manera que interesa contar con declaraciones de impuestos como el IVA y el IRPF. Cuando se trate de afrontar obligaciones con la Seguridad Social, dispones de un plazo de hasta 5 años.

Videovigilancia

En este caso, hay un doble plazo que dependerá del ámbito de la grabación. Por ejemplo, las grabaciones de videocámaras no se deberían conservar más de 1 mes en condiciones normales. Sin embargo, para aquellas imágenes que se vean afectadas por la Ley de Seguridad Ciudadana, se podrán conservar durante 3 años.

Sanidad

La legislación estatal obliga a conservar los datos de los pacientes durante 1 año como mínimo. Ahora bien, en algunas leyes autonómicas se amplía el plazo hasta el punto de que puede llegar a ser indefinido, en especial para documentos como las altas, bajas o el consentimiento informado.

Servicios mercantiles

Hay variaciones en función del sector empresarial y, como mínimo, hay que conservar durante 4 meses la documentación. Ahora ben, puede haber determinados cambios que acabarán ampliando el plazo de conservación.

Conclusión

Si quieres saber hasta cuándo conservar datos personales RGPD, te recomendamos que cuentes con los servicios especializados de una consultoría del sector. Te animamos a que contactes con clickDatos porque te podemos ayudar a establecer un protocolo de protección de datos coherente y que garantice tu derecho al tratamiento de datos y los de los usuarios. A la larga, notarás la diferencia y lo agradecerá tu negocio o entidad.

imagen

¿Cómo puedes proteger tus datos en la nube?

Cada vez es más la información que tenemos en nuestros dispositivos electrónicos. No importa que sean móviles, tabletas u ordenadores. La tecnología avanza y con ella, aumentan las preguntas de las empresas sobre cómo proteger los datos en la nube con el RGPD y si este tipo de almacenamiento cumple con las medidas de seguridad que se adecúen al mismo.

¿Recuerdas cuando hace unos años tus vídeos y tus imágenes apenas ocupaban? Hoy en día, eso ha cambiado. Por eso cada vez más usuarios tienen un servidor en la nube, incluyendo a las empresas. Esta es la razón por la que queremos darte unos consejos básicos.

Protección de datos cloud computing o cómo proteger tu servidor en la nube

Los servidores que contratas en la nube respaldan tus dispositivos de forma electrónica mediante la creación de copias de seguridad. Además, te permite tener datos disponibles estés donde estés. No obstante, aunque esto tiene muchos elementos positivos, también es importante que mantengas la seguridad de forma mayor que si fuese un disco duro sin conexión a la red, es importante la protección de datos cloud computing.

Las medidas generales de protección

En primer lugar, debes establecer una diferencia entre lo que es un servidor propio y uno externo. El propio es el que tienes en tu casa o en tu empresa conectado a Internet y el otro, la página que permite que alojes en él. En ambos casos tienes que tomar ciertas medidas de seguridad.

Lo más importante es que mantengas actualizado el dispositivo a su versión más ulterior. Cada actualización que saca una marca suele solucionar fallos de seguridad y vulnerabilidades. De este modo, estaremos protegidos ante supuestas amenazas que quieran aprovechar esta brecha de seguridad.

Programas y herramientas de seguridad

A su vez, es fundamental que dispongas de programas y herramientas de seguridad sin importar el dispositivo que utilices para transmitir los archivos. Es vitar que evites que se filtren virus, troyanos o cualquier tipo de malware.

Realizar copias de seguridad periódicas

Si bien es cierto que puedes utilizar un servidor si quieres liberar espacio en alguno de tus dispositivos, también es importante que hagas copias periódicas de seguridad. Para hacerlo, tendrás que usar algún dispositivo físico o bien, un servidor diferente. Así, tus datos estarán a salvo ante cualquier fallo de seguridad en la plataforma en la que tengas tus datos o si ocurre algún problema con el hardware.

Ten contraseñas fuertes

Tener contraseñas fuertes es algo muy básico que sin embargo, pocas personas cumplen. Necesitas una clave que sea difícil de averiguar, fuerte y que tenga letras mayúsculas, minúsculas, así como números y otros caracteres. Asimismo, es recomendable que la cambies con frecuencia.

Configura tu seguridad

Lo último que queremos señalarte es que te preocupes de conocer cuál es la configuración de seguridad del servidor que estás utilizando. Esto se debe a que puede ser que no esté configurado correctamente. Además, puede que existan parámetros que puedas incluir para incrementar la seguridad.

Qué debes tener en cuenta antes de que contrates un servicio en la nube

Hay muchas páginas de todo tipo que nos ofrecen servicios para que alojemos nuestros archivos: gratis, de pago, con poca o con mucha capacidad. En cualquier caso, hay otros factores más importantes si vas a alojar elementos relevantes.

1. Mira el país de origen

Debes mirar el país de origen debido a que lo conveniente es que los servidores estén alojados en la Unión Europea. De este modo, se preservará mejor nuestra seguridad y privacidad, al tener que cumplir con las medidas del Reglamento Europeo de Protección de Datos. También, infórmate de si la página es de la propia empresa o de si utiliza algún servidor de terceros.

2. Asegúrate de que te permitan un borrado completo

Otro factor que debes mirar antes de contratar un servidor es que te permita el borrado completo de tus archivos si alguna vez quieres cancelar el servicio. Lo normal es que sí en caso de que esté dentro de la Unión Europea, pues tienes derecho al olvido de acuerdo con el RGPD.

Cómo proteger los datos de tu empresa en la nube

Si tienes una empresa, es aún más importante que el almacenamiento de la nube cuente con protección de datos. Los servicios de almacenamiento, así como sus aplicaciones, deben cumplir con el Reglamento Europeo de Protección de Datos.

De este modo, debemos destacar que los datos que almacenes no podrán cederse ni compartirse con terceros. Sin embargo, no olvides que aun así, los datos que subas a la nube son responsabilidad de tu empresa o de quien utilice dicho servicio, no de la nube. A su vez, ten en cuenta que los discos virtuales de uso común no tienen en cuenta la protección de datos de los archivos que almacenan sus suscriptores.

Protege los datos de tus clientes

Dejando a un lado los aspectos legales de seguridad, las empresas tienen un deber moral y ético con la protección de datos de sus clientes. Por eso, debes entender que si no usas un almacenamiento en la nube que sea adecuado, estarás colocando información de tus clientes en lugares poco fiables. Si no respetas el RGPD, la información podrá ser usada con finalidades inciertas.

Tu reputación

Es probable que si no garantizas la protección de la información de tus clientes pierdas su confianza y tu reputación. Por tanto, en un futuro podrías tener problemas tanto económicos como legales. El incumplimiento del RGPD puede provocar importantes sanciones de carácter económico e incluso concluir con el cierre de la empresa.

La seguridad informática

La protección de datos es parte de tu responsabilidad en el tratamiento, así como de la seguridad de tus clientes y colaboradores. Es importante que mantengas la privacidad y que los servicios que utilices en la nube te garanticen el control de quién accede. Los sistemas de almacenamiento, así como los de acceso y las medidas de seguridad y privacidad, deben formar parte del objetivo de las empresas.

Si quieres saber cómo proteger tus datos en la nube con el RGPD y mantener tu privacidad, sigue los consejos básicos que te hemos comentado. Tanto si eres un particular, como si eres una empresa, la privacidad es cada día un asunto de mayor importancia.

imagen

¿Qué ventajas aporta el RGPD al email marketing?

Desde la entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD) se ha hablado de los perjuicios que este provocaba en las técnicas publicitarias en Internet. Entre dichas técnicas, se ha hablado mucho sobre el email marketing. No obstante, no todo es tan malo y por ello vamos a hablarte de las ventajas del RGPD para el email marketing. 

¿Qué es el email marketing?

El email marketing es el término que se utiliza para denominar al envío masivo de correos electrónicos a una serie de contactos.  Estos envíos se denominan campañas de email marketing y sirven como método de comunicación digital y de marketing directo.

El objetivo principal es el de promover un mensaje a un conjunto de usuarios a través de la bandeja de entrada de sus emails. Ciertamente, es una estrategia idónea para vender porque los usuarios reciben en su propio correo las ofertas y novedades, aumentando pues las posibilidades de que encuentren algo que les interese.

No obstante, desde que entró en vigor el nuevo reglamento sobre protección de datos, la forma en la que esto se lleva a cabo ha cambiado.

¿Por qué le afecta el Reglamento Europeo de Protección de Datos?

Lo primero que debes valorar es que para que una entidad te mande un email, ha de tener este dato tuyo. Los correos electrónicos han pasado a ser considerados datos de carácter personal, algo que la anterior normativa no reflejaba así.

Por ello, para poder seguir llevando a cabo esta estrategia de promoción, las empresas han tenido que pedir el consentimiento expreso de sus clientes. Es decir, no se te puede mandar un correo electrónico si tú no das el consentimiento para ello. No importa que hayas cedido este dato, has de aceptar que puedan enviarte comunicaciones comerciales para que una empresa pueda usar contigo el email marketing.

Por ende, desde que esta nueva normativa entró en vigor el pasado 25 de mayo de 2018, todas las empresas han tenido que llevar a cabo una serie de ajustes.

¿Cómo hay que adaptar esta estrategia al nuevo reglamento?

Vamos a explicar los cambios que las empresas han de hacer para que sea legítimo el uso del envío masivo de correos electrónicos. Aunque lo ideal es consultar a expertos en la normativa de protección de datosestos consejos pueden ser de ayuda para que sepas qué han de hacer las empresas.

1. Identificación de un Delegado de Protección de Datos

Las empresas que manejen una cantidad notable de datos personales están obligadas a tener un DPO. Pues bien, cuando te recojan tus datos, deberán darte información sobre esta persona o sobre su representarte. Además de, claro está, qué actividades llevará a cabo con tus datos.

2. Fines del tratamiento y base jurídica

Por otra parte, tendrán que informarte de las razones por las que van a recoger tus datos, dónde van a almacenarse y para qué van a utilizarse. En este último apartado las compañías deberán informarte sobre si van a hacer campañas de email marketing entre otras actividades.

Por último, todo ello deberá estar expresado de forma concreta y concisa y se acompañará de la base jurídica que justifica la legitimidad para hacerlo.

3. Asegúrate de implementar un consentimiento opt-in

Este tipo de consentimiento es aquel en el que tú como usuario deberás realizar una doble confirmación de que estás de acuerdo con los términos y condiciones de la compañía en cuestión. Si la empresa hace esto y tú aceptas sus términos (donde debe especificar la creación de campañas de email marketing) tendrá derecho a mandarte correos comerciales.

4. Almacenar pruebas de los consentimientos

Si no se tienen pruebas de tu consentimiento, no podrán enviarte estas comunicaciones ni usar tus datos. Por ello, las entidades deberán tener un registro actualizado y veraz de los consentimientos de sus clientes.

5. Habilitar un medio para rescindir el consentimiento

La nueva ley pone de manifiesto que los usuarios pueden pedirle a las empresas que borren sus datos personales cuando ellos quieran. Pues bien, todas las empresas deben informarte sobre cómo ejercer este derecho al olvido en sus términos y condiciones o en sus políticas de privacidad.

Ventajas del RGPD para el email marketing

A pesar de que en un primer momento se creó alarma entre las empresas por la actualización de los consentimientos, esto ha repercutido positivamente en los resultados de las campañas. Debemos destacar, además, que el RGPD en SMS masivo también ha incidido ya que se regularía de la misma manera que el email marketing. Así pues, veamos cuáles son estas ventajas.

Mejora la tasa de apertura, rebote y bajas

Limpiar la lista de suscriptores no ha tenido más resultados que los positivos para las empresas. A fin de cuentas, todos aquellos que no estaban interesados en la actividad de la compañía acababan mandando a spam sus mensajes o eliminándolos directamente.

Todo ello se reduce notablemente gracias al nuevo consentimiento donde se muestra manifiestamente que, verdaderamente, te interesan los mensajes que te manden. Por tanto, los abrirás, leerás y no te darás de baja.

Sacar partido al doble opt-in

En segundo lugar hay que hablar que el opt-in hace que el usuario deba confirmar la suscripción tras hacerla en la web mediante un email. Pues bien, como este correo le redirige a una página de la web de la empresa, se puede aprovechar para que demos más información relevante sobre nosotros.

Esto permitirá que la empresa nos envíe solo los mensajes que verdaderamente nos interesen y que sus estadísticas en las campañas mejoren notablemente.

Mayor cercanía y compromiso con el usuario

Cuando una empresa con la que te relacionas comercialmente te demuestra que se adapta a las nuevas leyes y que está comprometida con tus derechos, tienes mejor imagen de ella. Por este motivo, otra de las ventajas que ha supuesto el RGPD ha sido la mayor cercanía entre el usuario y las entidades que han comenzado a valorarse no solo a nivel comercial sino también interpersonal.

Como usuario te sientes más valorado y la empresa se siente más cercana a ti al velar por tus derechos y por el cuidado de tu información personal.

Así pues, a pesar del miedo que en un principio causaron las exigencias del nuevo marco legal, finalmente se han extraído ventajas del RGPD en el email marketing.

imagen

¿Cómo tiene que adaptarse un hotel al RGPD?

Desde que entrara en vigor el nuevo Reglamento Europeo de Protección de Datos, los hoteles se han visto obligados a llevar a cabo una serie de modificaciones en sus protocolos de actuación para con los datos personales. No obstante, en este texto te vamos a explicar cómo se adaptan los hoteles al RGPD paso a paso para que entiendas el proceso a la perfección.

¿Qué tratamientos hacen necesaria la adaptación de la LOPD en los hoteles?

Los hoteles son lugares donde se recoge una gran cantidad de datos personales. De hecho, muchas veces también recogen datos especialmente sensibles debido a, por ejemplo, que los huéspedes ofrezcan información sobre alergias alimentarias o sobre su estado de salud por posibles necesidades especiales.

Por ello, además de los datos de cobro y de identidad que se les piden a los clientes de un hotel, también puede recogerse información más delicada. Pero además, los hospedajes suelen contratar diferentes servicios como el de lavandería o el de transporte a quienes normalmente se les ceden los datos para que puedan llevar a cabo el servicio.

Todas estas acciones, además de la confección de las nóminas de los trabajadores implican una tenencia y tratamiento de datos. Por ello, estas empresas hoteleras han de adaptarse debidamente al Reglamento General de Protección de Datos.

Cómo se adaptan los hoteles al RGPD paso a paso

La imposición de un nuevo reglamento ha creado la necesidad de adaptar todos los protocolos de tratamiento, almacenamiento y custodia de los datos de los hoteles. Para ello, han sido necesarias ciertas modificaciones concretas que te comentaremos a continuación.

Es importante que conozcas esta información para que puedas aplicar las medidas necesarias en tu hotel y que, así, este se adecúe a lo estipulado en la nueva ley de protección de datos. 

1. Crear un registro de actividades de tratamiento

Esta es una de las imposiciones del nuevo Reglamento Europeo de Protección de Datos y es necesario que todos los hospedajes lo tengan. Dicho registro sería como el documento oficial en el que se explica qué se va a hacer con los datos y por qué. La información que debe aparecer en este documento es la siguiente:

– Qué datos se recopilan.

– Por qué es necesaria su recogida.

– Para qué se quieren.

– Qué política de almacenamiento se va a cumplir con estos datos.

– Si esta información se va a ceder o transferir fuera del país.

– Qué medios se utilizan para realizar el tratamiento.

Todo esto debe constar en el registro de actividades. Pero además, es necesario que este documento esté actualizado debidamente y que si se modifica cualquiera de las acciones se exponga en este registro.

Principalmente, la función de este documento es la de constatar ante la Agencia Española de Protección de Datos (AEPD) que todo se lleva a cabo adecuadamente. Lo puedes tener por escrito y también en formato electrónico.

2. Contratos con terceras personas

Debido a que la actividad propia de los hospedajes suele implicar la existencia de contratos con otras empresas, es necesario que además del registro tengas una lista de empresas externas con las que te relacionas. Además, en esta lista ha de constar que cada una de las entidades también cumple con la normativa de Protección de Datos.

Lo más normal es que exista relación con agencias de viajes, empresas de transporte, asesorías, empresas de limpieza y de informática. Pues bien, todas estas empresas deben cumplir con la normativa debidamente.

Para asegurarte de que los datos que tú tienes estén a salvo deberás llegar a un acuerdo y firmar un contrato de encargo de tratamiento. Esta será la forma de asegurarte de que los datos que tú has recopilado se tratarán adecuadamente.

3. Página web

La adaptación de la página web es una necesidad irrevocable. Por ello, es importante que tengas presente que todas las webs de hoteles deben incluir los textos que exige la Ley de Protección de Datos así como la LSSI.

Estos textos son: 

– Aviso legal.

– Política de cookies.

– Política de privacidad.

Si tu web no cuenta con estos documentos, no está acorde a lo estipulado en la ley.

4. Documento de consentimiento de los clientes

Otro requisito indispensable es el de contar con el consentimiento expreso de los clientes. Para ello, es necesario que, en la página web, haya una casilla desmarcada para aceptar la política de privacidad.

Si la cesión de datos se hace en persona, tu hotel deberá tener un documento específico que informe al cliente del responsable del tratamiento, del propósito de la recogida, si se cederán a terceros y cómo ejercer los derechos ARCO.

5. Contratos con empleados

Los empleados pueden acceder a la información que recoge el hotel. Por ello, es importante que firmen un documento de confidencialidad para evitar la propagación de la información sin autorización.

Además, estos deberán cumplir con las medidas de seguridad que la empresa establezca para proteger esta información.

6. Análisis de riesgos

Realizar un análisis de riesgos es imprescindible para poder establecer cuáles son las contingencias que podrían darse y que comprometerían la seguridad de los datos. Para hacerlo, hay que tener en cuenta el tipo de tratamiento, la naturaleza de los datos y el número de personas que serían afectadas. 

Por otro lado, también hay que realizar una evaluación del impacto que tendría la filtración de los datos para minimizar riesgos mediante las medidas correspondientes.

7. Notificación de brechas de seguridad

Esta es una obligación que tienen todas las empresas. En caso de que ocurra cualquier filtración, deberás avisar a la AEPD y a los afectados en un plazo máximo de 72 horas.

8. Nombrar un Delegado de Protección de Datos

Es decir, contratar o nombrar a un profesional que se encargue de salvaguardar los procesos y políticas internas del tratamiento de datos. Normalmente, todos los hoteles están obligados a tenerlo y cuando se nombra hay que hacer públicos sus datos de contacto y comunicárselos a las autoridades de supervisión.

Ahora que sabes cómo se adaptan los hoteles al RGPD, solo tienes que asegurarte de que tus protocolos se ajustan a la ley actual para proteger tu información. Y, si tienes alguna duda, no tengas reparos en contactar con expertos

imagen

Email marketing seguro y legal: así se evitan las sanciones del RGPD

RGPD y email marketing son una combinación peligrosa desde el 25 de mayo. Si quieres asegurarte de evitar infracciones del nuevo reglamento de protección de datos, echa un vistazo a este artículo.

Protección de datos al enviar newsletters

El primer elemento de protección de datos que necesitas manejar al enviar newsletters es la obtención del consentimiento. Tus usuarios tendrán que otorgarlo de forma libre, expresa e informada. Esto significa que tendrás que explicarles cómo y para qué utilizarás sus datos. Además, no valdrán las casillas premarcadas.

Si tienes en cuenta estos principios y los utilizas con transparencia conseguirás elaborar una base de datos legal. Por supuesto, este proceso es trabajoso. Por eso… ¿qué pasa si compras una base de datos? Pues que deberás andarte con mucho cuidado y cerciorarte de que el vendedor ha cumplido escrupulosamente sus obligaciones de protección de datos.

Una vez elaborada una base de datos legal, recuerda seguir las políticas de uso que hayas propuesto a tus usuarios. Si han rechazado parte de las comunicaciones, segmenta las mismas, para que no les llegue información indeseada. Y, por supuesto, cada vez que quieras cambiar la política de uso o actualizar la base de datos, deberás solicitar de nuevo el consentimiento de tus usuarios.

¿Y qué pasa si infrinjo el reglamento?

En los peores casos, infringir el RGPD puede conllevar multas de hasta 20 millones de euros, o del 4 % del volumen de facturación anual de la empresa. Esto significa que tomarte a la ligera tu email marketing podría llevar al traste tu proyecto.

Cómo estar protegido al 100 %

Ahora que sabes cómo sortear los principales escollos del email marketing y las newsletters, para acceder al siguiente nivel de protección necesitarás la ayuda de profesionales. Puede que necesites desde consultorías hasta formación para que puedas coordinar RGPD y email marketing tú mismo. Lo importante es que no descuides este aspecto.

Aviso legal de tu web. Lo que no puede faltar si tu página recaba datos.

Presta mucha atención al nuevo RGPD y páginas web. Debes tener en cuenta que la nueva Ley de Orgánica de Protección de Datos de carácter personal (LOPD, 2018) incorpora una figura que garantiza y controla su aplicación.

El aviso legal web y protección de datos

No puede faltar el aviso legal web y protección de datos si tu web es de empresa, si a través de ella vas a percibir ingresos, de forma directa o a través de comercio electrónico, o si se trata de un blog corporativo.

Qué información debe incorporar tu Aviso Legal

El nombre de una persona, su dirección o su correo personal son Datos Personales. Con la nueva RGPD debes añadir el Aviso Legal:

– Formulario con Nombre, Apellidos y Correo electrónico.

– Pestaña de Acepto la Política de Privacidad.

Debes incluir la siguiente información visible y legible:

– Responsable, finalidad, legitimación, destinatarios, los derechos del usuario, además de un enlace a más información. El Aviso debe ser claro, conciso y comprensible.

Como ves son dos capas, una primera donde el usuario puede acceder al formulario y le avisas de quién eres y qué vas a hacer con sus datos. Enlaza todo esto a una segunda con todos tus datos como empresa y las Leyes que garantizan sus derechos de Privacidad.

El consentimiento ya no es tácito, el usuario debe marcar la casilla de Acepto la Política de Privacidad y debe llegarle un correo en el que aceptará que efectivamente está de acuerdo. Es decir, un doble opt in.

¿Qué más debes hacer?

– Debes registrarte en la Agencia de Protección de Datos, rellenando un formulario llamado FACILITA.

– Debes modificar, según la nueva RGPD, los contratos con los encargados de su tratamiento. La Agencia Española de Protección de Datos te ofrece una guía.

Poner en marcha estas medidas del nuevo RGPD y páginas web es completamente necesario y obligatorio. No te arriesgues a las sanciones.