Una guía rápida y concisa para saber cómo afecta a empresas y autónomos el nuevo Reglamento General de Protección de Datos (RGPD):
Se conoce desde Mayo del 2016 que a partir del 25 de Mayo del 2018 comenzaría a aplicarse el nuevo Reglamento General de Protección de Datos.
Tenemos que estar atentos, ya que no solo nos exponemos a multas elevadas al incumplirlo, sino que también existe la posibilidad que un usuario de tu web, como también algún trabajador descontento, te denuncie y reclame una indemnización si estima que no estás usando sus datos de la manera adecuada. Esto puede que abra la puerta a oportunistas que encuentren el modo perfecto de sacarse un dinerillo denunciando webs no legalizadas.
Es por eso que hemos hecho esta guía con 21 preguntas que responderán tus dudas sobre este reglamento.
¿Qué finalidad tiene el nuevo RGDP?
No tiene otra finalidad que proteger los derechos y libertades fundamentales de las personas físicas como su derecho a la protección de sus datos y en ellos destacan todos los datos de carácter personal.
¿Qué normativa queda vigente a partir de 25 de Mayo del 2018?
Pues la normativa europea: Reglamento (UE) 2016/679 (RGPD); y la nueva Ley Orgánica de Protección de Datos a nivel nacional para matizar ciertos aspectos de la normativa europea.
¿Qué se entiende como un “dato de carácter personal”?
Pues datos como:
- Nombres.
- DNI’s
- Teléfonos.
- Direcciones.
- Correos electrónicos.
- Direcciones de IP’s
- Datos biométricos.
- Etc.
En otras palabras todo dato que por separado o en conjunto hace identificable a una persona.
¿Quién está obligado a cumplir con el nuevo Reglamento General de Protección de Datos?
Toda persona y/o empresa que trate con datos de carácter personal de forma automatizada (ordenador) y/o no automatizada (papel) de los ciudadanos de la Unión Europea.
- Organismos Públicos.
- Empresas privadas.
- Autónomos.
- Comunidades de vecinos.
- Clubes Deportivos.
- Asociaciones.
- Etc.
¿Quién está NO obligado a cumplir con el RGDP?
Los particulares. Por ejemplo: si nosotros tenemos en nuestra casa una agenda con los datos de nuestros contactos, o en nuestros móviles, ordenadores, etc. Estamos exentos de cumplir esta normativa ya que se entiende que no estamos dándole un uso comercial a dichos datos.
¿Cuándo una empresa no tiene que cumplir con el Reglamento General de Protección de Datos?
Esto se daría en casos muy particulares, por ejemplo: una panadería que no tenga trabajadores, no envíe publicidad, solo se dedica a vender el pan, no recoge datos de sus clientes y no tiene equipos de video vigilancia en sus instalaciones, pues estaría exenta ya que no recoge ni trata ningún dato.
En conclusión: cuando se recojan datos de los clientes, tenga datos de trabajadores, tenga una video vigilancia, mande publicidad, tenga un comercio electrónico o una web. Ya se tiene la obligación de cumplir con la normativa.
¿Si me encuentro fuera de la UE no tengo que cumplir con el RGPD?
Se cree que solo tienen que cumplir el nuevo reglamento quienes estén en la Unión Europea. Eso es falso. Toda empresa, persona o encargado que oferten bienes o servicios a usuarios de la Unión Europea están igualmente obligados a cumplir esta norma.
¿Cómo se supone que deben de ser esos datos que recopilo?
- Deben ser lo más minimizados posibles: no hace falta recabar datos de más, ejemplo: si solo necesito tus datos para hacerte una factura, no necesito tener en mi base de datos la fecha de tu nacimiento.
- Han de ser exactos y tienen que estar actualizados: si vemos que nuestra base de datos tiene datos (valga la redundancia) que ya no son los correctos o están desactualizados, tenemos la obligación de actualizarlos con los nuevos o en su defecto los tendremos que borrar directamente.
- Hay que aclarar el límite de la finalidad de los mismos: en otras palabras, hemos de tener muy claro para qué estamos recopilando esos datos de carácter personal.
- Tenemos que limitar el plazo en que los vayamos a conservar: si por ejemplo tengo la obligación de conservar las facturas de venta, ya sabemos que las podremos guardar unos 6 años. Pasado ese tiempo, procederíamos a eliminarlas.
- Y se han de tratar con Integridad y Confidencialidad: los datos los debemos manejar de forma íntegra y siempre salvaguardando la confidencialidad de la persona.
¿Desde dónde me permite la RGDP obtener los datos?
Nos permiten 2 vías:
- Directamente del interesado.
- Aquí estaremos obligados a informar y en algunos casos hasta pedir ciertos consentimientos y esto se debe producir en el momento en el que recojamos la información.
- De un tercero.
- Si obtenemos los datos de un tercero aquí estaremos obligados a informar a ese cliente o interesado en un plazo máximo de 1 mes. De todas maneras, en la primera comunicación que tengamos con el interesado se lo tendremos que comunicar. Y si sus datos van a ser cedidos a otro destinatario deberemos informárselo antes que realicemos la comunicación a ese otro destinatario.
Siempre que recojamos datos tendremos que legitimar ese tratamiento:
Tendremos que explicar de forma clara y concisa del por qué te estoy pidiendo esos datos.
¿Cuáles son las razones por las que me permite el reglamento pedirte tus datos?
Algunas de las razones que recoge la ley serían las siguientes:
- Por una relación contractual. Ejemplo: te estoy prestando un servicio y por ende tendremos una relación contractual.
- Por una obligación legal para el responsable. Ejemplo: te estoy pidiendo los datos porque la ley fiscal me obliga a generarte una factura.
- Por intereses vitales del interesado o de otras personas. Ejemplo: hospitales, médicos, servicios de salud en general.
- Porque se consideren de interés público o para el ejercicio de poderes públicos. Ejemplo: Hacienda.
- Porque responden a intereses legítimos prevalentes del responsable o de terceros a los que se le comunicarán esos datos.
- Porque se necesite un consentimiento. Bien lo dice el artículo 4.11 del RGPD: “Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
¿Cuándo necesitaré un consentimiento? Por ejemplo si tu empresa quiere enviarle publicidad a tus clientes, entonces necesitarás de su consentimiento. O las aseguradoras que manejen nuestros datos de salud, están obligadas a pedirnos que firmemos un consentimiento para manejar nuestros datos, etc.
Así que, si tienes una empresa o eres autónomo, seguramente necesites utilizar como mínimo:
- La legitimación por relaciones contractuales dado a que le venderás un producto o servicio.
- La legitimación por las obligaciones legales con tus clientes dado a que necesitas sus datos para crear las facturas.
- Tendrás que informarle que vas a ceder sus datos a terceros como es el caso de las declaraciones que le haces a la agencia tributaria, o porque en tu web tienes instalado el Google Analytics.
- Así como también necesitarás de su consentimiento para los envíos de publicidad o la newsletter de tu marca.
¿Cómo tengo que informarle al cliente de que voy a utilizar sus datos?
De ahora en más cuando adquieras nuevos prospectos deberás informarle “en el momento de la recogida de dichos datos”. Estas comunicaciones se pueden hacer a través de:
- Formularios de papel.
- Formularios web.
- Entrevistas telefónicas.
- Registro de aplicaciones móviles.
¿Y cómo tengo que informar a los antiguos o que ya tengo?
El reglamento te obliga a informarles también a ellos y puedes hacerlo vía:
- Correo postal.
- Correo electrónico.
- Formularios web.
- Reenvío de la petición de los consentimientos (siempre y cuando no puedas demostrar que esos consentimientos ya los tienes).
¿O sea, que tengo que enviarles peticiones de consentimientos a mi base de datos antigua?
Si. Si y tresmil veces si. Si tienes una newsletter, una base de datos a la que envías publicidad regularmente y no tienes un documento (en papel o digital) que valide que esa persona te ha dado permiso para tener sus datos para este fin, has de enviarle una nueva petición de consentimiento para que no caigas en la ilegalidad.
¿De qué tengo que informar al ciudadano europeo?
Con el nuevo reglamento he de informar de las siguientes cosas:
- El Responsable.
- La Finalidad.
- La Legitimación.
- Los Destinatarios.
- Los Derechos.
- Y la Procedencia.
¿En qué forma me pide el RGPD que informe al ciudadano?
Pues nos recomienda que lo hagamos en dos capas informativas:
- La primera: en el momento que procedamos a recoger los datos, de forma clara y sencilla. Una especie de píldora informativa.
- En una segunda capa: tendrás que informarle ya de manera extendida todo lo que nos exige el reglamento. Dado a que son cláusulas largas, estas pueden estar ubicadas en otro sitio. Sitio del cual informarás al ciudadano en la primera capa de la que hablábamos más arriba, para que si quiere, pueda acceder a ella, siempre de forma sencilla y gratuita. Por ejemplo: En el pie de la cláusula de arriba le insertas “usted puede leer toda nuestra política de protección de datos en el dorso de este documento”. También otro ejemplo sería: “Puede solicitar nuestra política de privacidad de forma gratuita y sencilla en nuestras instalaciones” o a través de un correo electrónico, etc. etc. etc.
Aquí os dejamos un esquema para que sea más facil comprenderlo:
¿Qué información poner en la primera capa para cumplir el RGPD?
- El responsable: aquí desvelaremos de forma clara y sencilla la identidad de quién va a tratar los datos. Ejemplo: El nombre de tu empresa con toda la información de contacto.
- La finalidad: aquí describiremos los fines o la finalidad para la que necesito esos datos. Ejemplo: para prestarte un servicio contratado, para la facturación de los mismos, etc.
- Los destinatarios: Aquí básicamente tengo que explicar si esos datos serán cedidos o no. Ejemplo: pues te informaré que tus datos no serán cedidos a ninguna otra empresa, pero si a la agencia tributaria. Otro ejemplo sería, si estamos hablando de la web de la empresa, explicarás que los datos serán cedidos a Google para el uso del Google Analytics, etc.
- Los derechos: se hace una breve mención a los derechos que tiene el ciudadano, como el de acceso a la rectificación, cancelación y modificación de los mismos (derechos ARCO). Pero que la información completa la tienes en X sitio, o en X enlace.
- La procedencia: Aquí el punto se refiere a la fuente desde donde hemos conseguido esos datos. Mencionaremos si los datos fueron obtenidos directamente del interesado, o si por el contrario, fueron conseguidos a través de un tercero.
¿Qué información colocamos en la segunda capa del RGPD?
Aquí es cuando nos explayamos. Es toda esa información, envuelta en cláusulas, que tendremos en las páginas de Política de Datos, Políticas de Cookies (en caso de tener una web), Políticas de Contratación, etc. etc. etc.
- En la 2da capa del responsable: Aquí es donde colocaremos todos los datos de contacto que sirvan para identificar la empresa o persona que hace el tratamiento de esos datos. Allí colocarás el CIF/NIF/NIE, la dirección, el teléfono, correo electrónico, dirección web, etc. En caso de necesitar la figura de un “Delegado de Protección de Datos” (DPD), también se colocará aquí toda la información pertinente para contactarle en caso que se necesite.
- En la segunda capa de finalidad: Aquí iría la descripción detallada de los fines por los que necesito dichos datos. Para qué los necesito, el plazo de conservación de los mismos (cuánto tiempo voy a guardar esos datos… 6 años por que me obliga la ley fiscal? ¿O los voy a guardar hasta que el usuario me pida que los elimine?). Y aquí también tendré que informar si con esos datos voy, o no, a elaborar perfiles de compra con el objetivo de enviarle el día de mañana publicidad adaptada a sus necesidades.
- En la segunda fase de la legitimación: Aquí además de detallar la base jurídica que nos legitima del tratamiento de esos datos, hablaremos de la obligación, o no, de dar estos datos así como las consecuencias de no darlos. Por ejemplo: una cláusula que diga “Que sepas que dado a que me has dado permiso expreso para enviarte publicidad, yo seguiré enviándotela hasta que tu no te opongas a ello por los mecanismos que te presento a continuación”.
- En la segunda fase de los destinatarios: Aquí es donde detallamos a quién concretamente se le están cediendo esos datos. Como también podemos llegar a explicar la categoría de empresas a las que les vamos a ceder dichos datos. Si optas por enumerar las empresas, deberás informar el nombre de la misma, qué tipo de empresa es y sus datos de contacto (como dirección, etc.).
- En la segunda fase de derechos: se explica cómo puede ejercer el consumidor los derechos de los que hablamos en la primera fase, cómo puede retirar el consentimiento y facilitarle o recordarle que siempre puede reclamar ante la AEPD (Agencia Española de Protección de Datos). En otras palabras, cómo puede hacer uso de sus derechos, por ejemplo: si es a través de una dirección postal, un correo electrónico, etc. Puede ser cualquier procedimiento que sea sencillo y gratuito.
-
- Con el nuevo RGPD al ciudadano se le reconocen todos los derechos sobre sus datos, o los también conocidos como los derechos ARCO (correspondiente a las siglas de: acceso, rectificación, cancelación y oposición):
- Derecho al acceso: es el derecho a saber qué datos maneja una empresa sobre mi persona y el tratamiento que le está dando a esos datos.
- Derecho a la rectificación: es el derecho a que nuestros datos sean actualizados y revisados para que estos estén correctos.
- Derecho a la supresión: es el derecho que tenemos de que nuestros datos sean borrados de una base de datos. Lo que trae también consigo al derecho al olvido, es decir, si tú tienes mis datos y además los has publicado en un entorno digital, aparte de borrarme de tu base de datos, también tendrás que borrarme de las publicaciones digitales.
- Derecho a la limitación del tratamiento: esto trata el bloqueo de la información. Ejemplo: si tu estás tratando mis datos y yo te interpongo una reclamación explicando que no quiero que los trates, mientras se resuelve esa reclamación, tu estarás obligado a bloquear esos datos.
- Derecho a la portabilidad: es el derecho de poder pedirle a una empresa que nos den en un formato legible todos los datos que posee de mi, de tal forma que yo me pueda ir a otra empresa y pueda incorporar estos mismos de forma sencilla en sus sistemas.
- Derecho a la Oposición: es el derecho que tenemos a que nuestros datos sean utilizados para un fin que nosotros no queremos y que no sea necesario para el servicio que se nos está prestando la empresa en cuestión.
¿Cuál es el plazo de respuesta para estos derechos?
Como máximo de 1 mes, ampliable a 2 meses en algunos casos complejos.
- En la segunda fase de procedencia: este apartado solo lo utilizaremos si los datos no los hayamos conseguido directamente del interesado. En ese caso, explicaremos en la cláusula completa, el origen de los datos y qué datos estoy manejando sobre tu persona. Si tienes dudas, hazte esas dos simples preguntas: “¿De quién he obtenido los datos?” y “¿Qué datos estoy manejando sobre tu persona?”.
- ¿Qué pasa si los datos que tengo del interesado se basan en un Consentimiento?
Pues ahora la ley aclara que esos consentimientos han de ser “Inequívocos”. ¿Qué significa esto? Pues que debe existir una manifestación del interesado mediante una clara y explícita acción afirmativa.
Hasta antes del 25 de Mayo, se admitían los consentimientos tácitos o por omisión, como por ejemplo: “si sigue navegando en esta web se entiende que está de acuerdo con nuestra política de privacidad y cookies”. O cuando les colocábamos a nuestros clientes en la factura: “Le informamos que sus datos forman parte de un fichero propiedad de nuestra empresa, cuya finalidad es la prestación de los servicios contratados así como la facturación de los mismos y le informamos que usted también autoriza a que sus datos puedan ser utilizados para remitir la información comercial sobre nuestra empresa”. Y como luego nadie te decía nada, se daba el famoso consentimiento por omisión. Pues esto a partir del 25 de Mayo del 2018 esto ya NO vale. A partir de ahora necesitamos poder demostrar de forma inequívoca que tengo tu permiso para, por ejemplo, enviarte publicidad.
Información adicional: las casillas premarcadas están rotundamente prohibidas. Así que nada de caer en la tentación de hacer los formularios con la casilla premarcada.
¿Cuándo deben ser explícitos los consentimientos?
En los casos en que:
- Se traten datos sensibles.
- Cuando se adopten desiciones automatizadas.
- Cuando haya transferencias internacionales de dichos datos.
¿Qué es eso del “Encargado de Tratamiento”?
Son todas las empresas externas que nos prestan un servicio y que para prestarnos ese servicio requiere el tratamiento de la información de nuestras bases de datos. El ejemplo más fácil que te puedo dar sería, el de la gestoría o asesoría laboral de tu empresa, los cuales tienen que tener los datos de nuestros trabajadores para poder elaborar las nominas. La nueva RGPD nos dice que desde el 25 de Mayo del 2018 solo podremos contratar a encargados que garanticen el cumplimientos del reglamento general de protección de datos. Actualmente solo te puedes asegurar que lo garantizan mediante la firma de un contrato.
Después de todo lo anterior, la nueva normativa nos indica que hemos de realizar un análisis de riesgos.
¿Qué es el análisis de riesgos en el nuevo RGPD?
Este apartado viene para cubrir los nuevos aspectos fundamentales que entran con el nuevo reglamento general de protección de datos. Tienes que siempre ser capaz de demostrar que la información es confidencial, está disponible y está íntegra.
¿Qué es lo que nos va a determinar las medidas de seguridad que tenemos que adoptar?
El análisis de riesgos.
- Uno es el de responsabilidad proactiva: condiciona la adopción de las medidas de seguridad al riesgo que los tratamientos de los datos personales puedan suponer para los derechos y libertades de los interesados.
- El otro es el enfoque desde el riesgo: es el que se basará en indicar las medidas de seguridad que la organización debe adoptar para garantizar la confidencialidad, la disponibilidad y la integridad de la información y de los sistemas que tratan con la misma.
¿Cómo se hace un análisis de riesgos?
- Identificar los activos.
- Enumerar los riesgos que pueden tener cada uno de esos activos.
- Enumerar las medidas de seguridad a aplicar.
Que sepáis que es obligatorio para todas las empresas. Y Lo primero que pasaríamos a hacer es identificar los activos. En otras palabras, todo aquello que interviene en una protección de datos.
Por ejemplo: Nuestro servidor, que es donde está la información, es un activo. Nuestros trabajadores, es un activo. ¿Por qué? Porque a través de uno de ellos podría abrirse una brecha de seguridad, como la confidencialidad. Nuestra copia de seguridad, también es un activo. Etc. Etc. Etc.
Lo siguiente que tendríamos que hacer una vez identificados todos nuestros activos es enumerar qué riesgos pueden atacar ese activo.
Por ejemplo: Que nos roben, que nos entre un virus en la web o en el sistema, que algún trabajador revele información confidencial. etc.
Después de haber valorado los riesgos pasaremos a enumerar las medidas de seguridad que tenemos preparadas para cada uno de dichos riesgos.
Como por ejemplo: tenemos un firewall en nuestro servidor, realizamos copias de seguridad de nuestra web, etc.
Dicho todo esto es cuando pasamos a lo que se llama la evaluación de impacto.
¿Qué es la evaluación de impacto en el RGPD?
Esto es una consecuencia y deriva del análisis de riesgos.
Aquí es cuando tenemos que tener identificados los riesgos y cómo los voy a gestionar en caso de que se materialice.
Hay que decir que este apartado es solo necesario o obligatorio para aquellas empresas que manejan datos sensibles, como creencias políticas, religión, datos de salud, etc. que supongan un alto riesgo para los derechos y libertades de las personas. Es decir que realicen perfiles de dichas personas con esos datos. También están obligados aquellos que manejen en gran escala datos sensibles como salud, religión, creencias, etc. Y por último las empresas que realicen una observación sistemática a gran escala de una zona de acceso público a gran escala (Ejemplo: video vigilancia, etc.). Y te preguntarás, cómo se que es a gran escala. Pues es la pregunta que no hacemos todos, ya que no han establecido medida alguna para cuantificarlo. Algunos dicen que a partir de 5.000, y otros te recomiendan que te compares con la empresa más grande de tu sector y de allí saques una relación al respecto.
¿Qué se considera una brecha de seguridad en el RGPD?
Se considera una brecha de seguridad en el nuevo reglamento general de protección de datos a una incidencia que conlleve a un riesgo de la confidencialidad, integridad o disponibilidad de la información. Ejemplo: El robo de un servidor, el robo de un ordenador con información de clientes y proveedores dentro, etc.
A partir del 25 de Mayo del 2018 si esa brecha de seguridad se materializa, desde el momento que conocemos de su existencia, contamos con 72 horas para comunicar a la Agencia Española de Protección de Datos de la misma.
¿Qué le tenemos que comunicar a la Agencia Española de Protección de Datos en caso de una brecha de seguridad en nuestra empresa?
- Le explicaremos la naturaleza de lo que ha sucedido. Si es posible la categoría y número aproximado de afectados y de registros afectados. Ejemplo: Naturaleza: el robo de un ordenador. Categoría: con datos de nuestros clientes porque allí teníamos todas las facturas. Nº. Aprox. de afectados: pues el Nº de clientes que tengamos. Nº de registros: suma de todas las facturas que teníamos en ese ordenador.
- Les facilitaremos los datos de la persona de contacto de vuestra empresa. Como los datos de la figura del delegado de protección de datos, en caso de que existiera.
- Las consecuencias: les aclararemos qué puede ocurrir por esa brecha de seguridad. Ejemplo: accesos indebidos, mala gestión de la información, etc.
¿Qué hacemos después de comunicar a la AEPD?
Pues también se deberá de comunicar al interesado cuando:
- La brecha de seguridad suponga un alto riesgo para los derechos y libertades de las personas físicas. Ejemplo: el robo de unos historiales clínicos.
- En caso de que los datos estuviesen cifrados, entonces no sería necesario. Ejemplo: nos han robado el servidor pero los datos estaban cifrados, pues comunicaremos de lo acontecido a la agencia de protección de datos, pero no hará falta de comunicarle al interesado o afectado, ya que es muy poco probable que alguien logre desencriptar los datos y pueda hacerse con la información que estaban allí dentro.
La Figura del Delegado de Protección de Datos:
Con la entrada en vigor del nuevo reglamento, entra en juego este nuevo personaje. Es una figura que no es obligatoria para todo el mundo.
¿Para quién es obligatorio tener la figura del Delegado de Protección de Datos?
Aquí os enumero alguno de los más importantes:
- Para los organismos públicos.
- Las empresas que manejen datos a gran escala o datos a gran escala sensibles.
- Determinados sectores.
- Colegios profesionales.
- Sector médico.
- Centros docentes.
- Entidades aseguradoras.
- Publicidad y prospección comercial.
- Distribuidores de energía eléctrica.
- Otras muchas más.
¿Quién puede ser el Delegado de Protección de Datos?
La normativa no te identifica un perfil para esa persona, pero si te recomienda que sea quien tenga conocimiento de la legislación y la experiencia en la práctica de la Protección de Datos (Interno o Externo a la organización).
El próximo paso después de saber quién va a ser el Delegado de Protección de Datos de tu empresa, será hacerlo público y comunicarlo a la AEPD.
¿Qué labores va a tener que hacer mi Delegado de Protección de Datos?
- Autonomía: este delegado ha de tener o gozar de autonomía y no verse influenciado, ya que tiene que velar tanto por los intereses de la empresa como por proteger al ciudadano o trabajadores. Ha de tener la vista clara de lo que hay que hacer.
- Relacionarse con el nivel superior de la dirección: en otras palabras esta persona ha de conocer absolutamente todo de la empresa ya que tiene que cubrir todas las áreas de la empresa para velar que se cumplan de manera efectiva la protección de datos.
- Disponibilidad de todos recursos: además la empresa le ha de facilitar al DPD todos los recursos necesarios para desarrollar su actividad.
¿Qué es el Registro de Actividades?
Desde el 25 de Mayo del 2018 ya no hará que inscribir ficheros en la AEPD. Desde esa fecha en cuestión se necesitará algo nuevo: el Registro de Actividades.
Es lo que sustituye a los antiguos ficheros que se presentaban ante la agencia española de protección de datos. Es un registro, interno de la empresa, que ya no hay que declarar.
Además, este registro de actividades no va a ser obligatorio para todo el mundo.
¿Quiénes están obligados a tener un Registro de Actividades en su empresa?
- Para las empresas que tengan más de 250 trabajadores.
- Empresas que recojan o trabajen con datos especialmente sensibles o que puedan suponer un riesgo para los derechos y libertades de los interesados, que no sea ocasional. Ejemplo: Datos de salud, religión, creencias, coordenadas de longitud y latitud (GPS), infracciones penales, etc.
Recomendación: aunque no sea obligatorio para todas las empresas, aconsejamos que todos hagan un registro de actividades, porque además de ser algo muy sencillo de hacer, nos va a ayudar para realizar en análisis de riesgos.
¿Qué debe incluir un Registro de Actividades para el RGPD?
- Nombre y datos de contacto del responsable o corresponsable y la figura del Delegado de Protección de Datos, si existiese.
- Finalidades del tratamiento.
- Descripción de categorías de los interesados y categorías de datos personales que están tratando.
¿A qué sanciones me expongo si incumplo el nuevo RGPD?
Las infracciones pueden ser de tres tipos:
- Leves: con un importe aún no definido, sabemos que prescriben al año de la infracción.
- Graves: con un importe desde el 2% de la facturación anual del ejercicio anterior, hasta 10.000.000€. Las faltas prescriben a los 2 años de haber cometido la infracción.
- Muy graves: con un importe desde el 4% de la facturación anual del ejercicio anterior, hasta los 20.000.000€. Las faltas prescriben a los 3 años de haber cometido la infracción.
¿Qué es una infracción para el Reglamento General de Protección de Datos (RGPD)?
La verdad es que el RGPD abarca una infinidad de infracciones, pero algunos ejemplos que hemos considerado en destacar serían:
- Leves:
- Se considera una infracción leve no atender los derechos del ciudadano. Ejemplo: un ciudadano pide alguno de sus derechos como al acceso a la rectificación, cancelación o portabilidad de sus datos y no les hacemos caso.
- No publicar los datos del DPD en las cláusulas informativas o no comunicarlo a la agencia.
- Graves:
- No legitimado. Ejemplo: tengo los datos de alguien, pero no puedo legitimar que haya habido una relación contractual, o una obligación legal y tampoco tengo su consentimiento.
- No garantizar un nivel de seguridad adecuado (recordemos que ese nivel lo establece el análisis de riesgos).
- Contratar a un encargado que no cumpla con el Reglamento General de Protección de Datos. ¿Cómo me aseguro que cumple el reglamento? Pues con la elaboración del contrato que hemos descrito antes.
- No comunicar las brechas de seguridad. Ejemplo: me roban el ordenador, pero decido por X o por Y no comunicárselo a la agencia. Pues si el día de mañana un trabajador tuyo lo denuncia a la empresa te caería una sanción grave.
- Muy graves:
- Tratar los datos de un menor sin su consentimiento o patria potestad o tutela.
- Utilización para finalidades incompatibles. Ejemplo: si yo te he comunicado que los datos los he recopilado porque voy a prestarte un servicio y luego resulta que los datos los voy a tratar para otra finalidad totalmente distinta y no te he informado al respecto, o no te he pedido el consentimiento correspondiente.
- Vulneración del deber de confidencialidad.
Situaciones especiales:
¿Que sucede si en mi empresa tengo un sistema de video vigilancia?
El reglamento nos indica que debo de tener un cartel a la vista de todos, en cada uno de los puntos de acceso al recinto, indicando que se tienen cámaras en funcionamiento.
Además debo de tener un documento a disposición del interesado, por si nos lo solicitan, donde debo informar las diferentes finalidades por las que hacemos uso de la video vigilancia. Estas podrían ser:
- Preservar la seguridad de las personas y bienes, así como de las instalaciones.
- También puede ser para un control laboral, donde en ese caso también estaríamos obligados a informar a los trabajadores.
- La captación de la vía pública (normalmente reservada para las fuerzas y cuerpos de seguridad) puede ser mayor a lo que era permitido antes, siempre y cuando sea para garantizar la seguridad de bienes o instalaciones estratégicas, así como de las infraestructuras vinculadas al transporte de la empresa.
¿Que sucede si en mi empresa tengo que recabar datos de menores de edad?
- El RGPD nos indica que se le pueden pedir directamente los datos a menores de edad mayores de 13 años.
- Si tiene menos de 13 años, se necesitará la autorización de los padres o tutores legales.
- El deber de informarle al menor tendrá que ir adaptado a su edad. ¿Qué quiere decir eso? Que esa información ha de ser concisa, transparente, inteligible y utilizando un lenguaje claro y sencillo.
¿Qué dice el RGPD sobre las personas fallecidas?
Dicta que van a haber unos determinados derechos:
- El derecho al acceso.
- Derecho a la rectificación.
- Derecho a la supresión.
¿Quiénes podrán ejercer los derechos de los fallecidos según el nuevo RGPD?
-
- Por parte de los herederos que acrediten dicha condición.
- Por parte del albacea testamentario o a quién hubiese designado el fallecido en su testamento.
- Por parte de representantes legales o ministerios fiscales.