Académique Documents
Professionnel Documents
Culture Documents
Derechos reconocidos
La finalidad principal del RGPD es proteger el derecho fundamental a la
protección de datos de carácter personal, pues se considera que la recogida, el
uso y la comunicación de este tipo de datos pueden suponer un riesgo para este
derecho de las personas. Por esa razón esta normativa reconoce los siguientes
derechos:
El derecho a que se requiera el previo consentimiento inequívoco del afectado
para la recogida y el uso de sus datos personales, o, en cualquier caso, que exista
otra base jurídica que legitime el tratamiento de los datos.
El derecho del titular de los datos o afectado a ser informado sobre el destino y
uso que se va a hacer de sus datos.
Asimismo, se reconocen otros derechos asociados al tratamiento de los datos: los
tradicionales derechos de acceso, rectificación, cancelación y oposición
(denominados ‘ derechos ARCO’ ), y otros nuevos derechos que introduce esta
normativa, como el derecho al olvido, el derecho a la limitación del tratamiento,
el derecho a la portabilidad de los datos y el derecho a no ser objeto de una
decisión basada únicamente en el tratamiento automatizado, incluida la
elaboración de perfiles.
Recopile información
Una buena forma de analizar la situación de su empresa e iniciar la adaptación a
la nueva normativa es realizar un inventario de los tratamientos de datos. En
concreto:
Realice un inventario de todos los datos que recopile, almacene, utilice o
comunique a terceros, incluyendo el acceso de estos terceros a la información
(por ejemplo, por un acceso remoto a la aplicación informática que pueda
contener datos personales).
En este inventario incluya los datos de carácter personal de las distintas
categorías de personas físicas que pueda identificar: clientes, clientes
potenciales, trabajadores, proveedores, usuarios y clientes web, imágenes
captadas por cámaras de videovigilancia, etcétera; así como:
o Los ficheros o aplicaciones informáticas que contienen los datos personales y a
través de los cuales se procesan.
Servicios de telecomunicaciones.
Seguros.
Publicidad.
Videovigilancia masiva.
Factor de riesgo 2. Si su empresa trata alguno de los siguientes datos:
Datos que revelen origen étnico o racial.
Datos de opiniones políticas o religión.
Datos genéticos.
Geolocalización.
Factor de riesgo 3. Si su empresa realiza alguno de los siguientes tratamientos:
Hacer o analizar perfiles.
Las empresas del sector privado que realicen tratamientos que requieran una
observación habitual o sistemática de las personas, o bien que traten datos
especialmente protegidos a gran escala. También los centros docentes,
operadores de telecomunicaciones, entidades financieras, entidades de
publicidad y prospección comercial, centros sanitarios, operadores de juego,
empresas de seguridad privada, entre otros.
El DPO puede ser alguien interno de su empresa o externo (como un asesor a
quien encargue esta función mediante un contrato de servicios). En todo caso, el
DPO no puede ser cualquier persona, ya que es necesario que tenga
conocimientos jurídicos y prácticos en materia de protección de datos y no se
encuentre en una situación de conflicto de interés.
Responsable y encargado
No confunda estas personas con otras figuras reguladas en el RGPD:
Responsable del tratamiento. Es quien decide sobre el contenido, uso y
finalidad de los tratamientos de datos personales.
Encargado del tratamiento. Es quien trata datos de carácter personal por
cuenta del responsable del tratamiento.
Usuarios. Son las personas, internas o externas, que tengan acceso a los datos de
carácter personal de la empresa.
Interesados o afectados. Son los titulares de los datos de carácter personal que
usted o su empresa gestionen (clientes, trabajadores, usuarios registrados de su
página web, prospects...).
Ejemplo
Cuando su empresa trata los datos personales de sus trabajadores para los fines de
cumplimiento y desarrollo de la relación laboral, su empresa es el responsable de
este tratamiento de datos.
Ejemplo
Si su empresa se dedica a prestar servicios informáticos que implican el acceso a
datos personales de sus clientes, será también el encargado del tratamiento de sus
empresas clientes, que actuarán como responsables del tratamiento.
En definitiva, el encargado del tratamiento es un prestador de servicios con
acceso a datos personales de sus empresas clientes.
GDPR: IDENTIFICACIÓN Y
DOCUMENTACIÓN
Cuando sea posible, los plazos previstos para la supresión de las diferentes
categorías de datos.
GDPR: INFORMACIÓN Y
CONSENTIMIENTO
De los destinatarios de la información, esto es, los cesionarios (vea el capítulo 5).
Del carácter obligatorio o facultativo de las respuestas a las preguntas que usted
plantee a los interesados.
De las consecuencias de la obtención de los datos o la negativa a suministrarlos.
Revocación
En todo caso, tenga en cuenta que el afectado tiene derecho a revocar su
consentimiento en cualquier momento y a través de un medio sencillo y gratuito.
La retirada del consentimiento no afecta al tratamiento de los datos que usted
haya realizado anteriormente, pues éste se basó en el consentimiento prestado
antes de su retirada.
Que sirva para salvaguardar el interés vital del interesado o de otras personas.
Requisitos del acceso a datos para la prestación de un servicio
La realización de una prestación de servicios con acceso a datos requiere la
existencia de un contrato escrito que establezca expresamente las obligaciones
del encargado del tratamiento. Con el RGPD, la responsabilidad última sobre el
tratamiento sigue estando atribuida al responsable, que es quien determina la
existencia del tratamiento y su finalidad. Ahora bien, el RGPD introduce cambios
importantes en las relaciones responsable-encargado que su empresa deberá
tomar en consideración independientemente de la posición que ocupe en el
tratamiento de los datos.
De esta manera, si su empresa es el responsable:
Tendrá que elegir únicamente encargados que ofrezcan garantías suficientes de
que aplicarán medidas técnicas y organizativas apropiadas, de manera que el
tratamiento sea conforme con el RGPD. Este requisito también se aplica a los
encargados cuando subcontraten operaciones de tratamiento con otros
subencargados.
Derecho de acceso
El derecho de acceso es el derecho que tiene el interesado a conocer y obtener
gratuitamente información sobre estos extremos:
Sobre si sus datos de carácter personal están siendo objeto de tratamiento; y, en
caso afirmativo, sobre las categorías de datos objeto de tratamiento y la finalidad
del tratamiento que se esté realizando.
Sobre el origen de tales datos (cuando no los haya obtenido del interesado) y las
comunicaciones que se hayan hecho de éstos o que se prevean realizar.
El derecho a ser informado de las garantías adecuadas en caso de que sus datos
se transfieran a un tercer país.
El derecho a obtener una copia de los datos personales objeto de tratamiento, sin
que ello afecte a derechos de terceros.
Derecho de rectificación
El derecho de rectificación es el derecho que permite al interesado exigir que se
corrijan errores o que se modifiquen los datos que sean inexactos o incompletos
para garantizar la certeza de la información que se esté tratando.
Derecho de supresión
El derecho de supresión (también llamado ‘ derecho al olvido’ ) es el derecho
que permite al interesado solicitar que se supriman los datos en los siguientes
casos:
Cuando sus datos ya no resulten necesarios para la finalidad para la que fueron
recogidos.
Cuando revoque su consentimiento y no exista otra base jurídica que legitime el
tratamiento de sus datos.
Cuando se oponga al tratamiento de sus datos sin que prevalezcan otros motivos
legítimos para conservarlos.
Niveles de seguridad
En muchos casos se pueden seguir aplicando las mismas medidas de seguridad
que establecía el Reglamento de Desarrollo de la LOPD, si estas ya ofrecen un
nivel adecuado de seguridad. Por tanto, recuerde que dicha norma establece tres
niveles de seguridad (básico, medio y alto), dependiendo de la naturaleza de los
datos personales tratados.
Estos niveles de seguridad son acumulativos. Por tanto:
Los ficheros o tratamientos de datos de carácter personal de nivel básico sólo
deben adoptar las medidas de seguridad de nivel básico.
Los ficheros y tratamientos de datos de nivel medio deben adoptar tanto las
medidas de seguridad de nivel básico como las de nivel medio.
Los ficheros y tratamientos de datos de nivel alto deben aplicar las medidas
previstas en los niveles básico, medio y alto.
Nivel alto
Son ficheros o tratamientos de nivel alto, entre otros, los que se refieren a datos
de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida
sexual. Una de las medidas de seguridad que se debe implantar en estos ficheros
de nivel alto (si son automatizados) es, por ejemplo, la del registro de accesos, de
manera que quede registrado el usuario que ha intentado acceder al fichero, la
hora, el fichero, el tipo de acceso y si dicho acceso ha sido autorizado o denegado.
Nivel medio
Son ficheros o tratamientos de nivel medio, entre otros, aquellos relativos a la
prestación de servicios de solvencia patrimonial y créditos, aquellos de los que
sean responsables entidades financieras para las finalidades relacionadas con la
prestación de servicios financieros y aquellos que contengan un conjunto de
datos que ofrezcan una definición de las características o de la personalidad y
que permitan evaluar determinados aspectos de la personalidad o del
comportamiento de las personas.
Una de las medidas que se debe implantar para estos ficheros o tratamientos de
datos de nivel medio es la realización de una auditoría (interna o externa) cada
dos años a fin de verificar que se cumplen las medidas de seguridad que exige la
normativa de protección de datos.
Nivel básico
Es un fichero o tratamiento de datos básico cualquier otro fichero distinto a los
indicados que contenga datos de carácter personal.
Una de las medidas de seguridad de nivel básico (y que, por tanto, debe
implantarse en todo tipo de ficheros automatizados) es que se establezca un
procedimiento de asignación y distribución de contraseñas y que las contraseñas
se cambien, al menos, una vez al año.
También se consideran de nivel básico los ficheros o tratamientos que contienen
datos de nivel medio o alto sólo de forma accidental o accesoria, pero sin guardar
relación con su finalidad. Por ejemplo, un hotel dispone de los datos de alergias
alimentarias de un cliente. Éste es un dato de nivel alto por referirse a la salud,
pero está en el fichero de forma incidental, pues la finalidad de dicho fichero es el
hospedaje.
El documento de seguridad
Aunque el nuevo RGPD no exige expresamente que se confeccione un
‘ documento de seguridad’ , es aconsejable que se haga, en los mismos términos
que exigía la normativa anterior. En este sentido, el documento de seguridad es
un documento interno que debe mantenerse actualizado en todo momento y
exhibirse en caso de inspección por parte de la AEPD. También debe demostrarse
que se está aplicando de forma efectiva.
Las menciones mínimas del documento de seguridad son las siguientes:
Ámbito de aplicación, especificando de forma detallada los recursos protegidos
(servidores, ordenadores, tablets, discos duros externos u otros elementos de
almacenaje con datos de carácter personal).
Aviso legal
Si usted tiene una página web meramente informativa, que utiliza como
escaparate virtual de los productos o servicios que ofrece su empresa pero con la
que no capta datos personales, el RGPD no resultará de aplicación. Ahora bien, la
cosa cambia – y usted deberá tener en cuenta esta norma necesariamente– , por
ejemplo, en los siguientes casos:
Si incluye en su página web un campo en el que solicita la dirección electrónica
de los usuarios del sitio (para enviarles un boletín de noticias, catálogos...).
Si incluye un formulario de contacto que los usuarios tienen que completar para,
por ejemplo, enviar consultas.
Si su página web permite la compraventa en línea de sus productos o servicios,
para lo cual los usuarios tienen que facilitar sus datos personales.
En todos estos casos, usted estará obteniendo datos personales de los usuarios
de su página web, por lo que es necesario que inserte un aviso legal para dar
cumplimiento al deber de información y consentimiento. Es necesario que los
usuarios acepten expresamente dicho aviso.
Ejemplo
Puede hacer que los usuarios marquen una casilla al pie del formulario, justo en
donde se inserte un enlace que diga “ Acepto la Política de Privacidad” (o similar)
y que reenvíe a la información requerida por el RGPD.
‘ Spam’
Utilizar Internet para enviar publicidad es un medio rápido, barato y sencillo
para llegar a muchos destinatarios. No obstante, las empresas no pueden enviar
correos electrónicos de forma indiscriminada, ya que lo prohíbe la Ley de
Servicios de la Sociedad de la Información y de Comercio Electrónico. Vea
entonces qué debe hacer para evitar que sus envíos puedan ser calificados como
spam (correo electrónico no deseado):
Los destinatarios de la publicidad deben haber consentido previamente el envío.
Por tanto, asegúrese de que en todos los formularios de su empresa donde se
recogen datos de posibles clientes se menciona que éstos le autorizan
expresamente a enviarles publicidad.
‘ Cookies’
Si su empresa dispone de una página web, es probable que utilice cookies, que
son unos pequeños ficheros que almacenan información del usuario que accede a
la web (como, por ejemplo, información sobre los hábitos de navegación de ese
usuario para después enviarle publicidad personalizada).
Pues bien, la ley obliga a informar a los usuarios y a obtener su consentimiento
para utilizar o instalar cookies, y prevé sanciones importantes en caso de
incumplimiento.
Eso sí: no deberá cumplir esa obligación si su web sólo utiliza cookies técnicas,
que sirven para que la web se cargue correctamente, o cookies necesarias para
prestar un servicio solicitado por el usuario (como, por ejemplo, el carrito de la
compra virtual).
Por tanto compruebe con su informático qué tipo de cookies utiliza su web.
Requisitos
Las cámaras no podrán obtener imágenes de espacios públicos, salvo que ello sea
inevitable. Así, una cámara situada en la puerta principal o de entrada o salida de
personas no deberá tomar imágenes de toda la calle en la que se encuentre.
La colocación de cámaras debe respetar el principio de proporcionalidad y el
derecho a la intimidad.
Por tanto, no las coloque de forma que capten imágenes en zonas privadas (como
en los vestuarios de sus trabajadores); colóquelas sólo en aquellas zonas donde
razonablemente puedan cumplir con su finalidad (por ejemplo, en el acceso a sus
instalaciones). Asimismo, es necesario que informe de la colocación de las
cámaras con un cartel explicativo situado en un lugar visible de las zonas
videovigiladas, en el que se informe, como mínimo, de la identidad de su empresa
y la posibilidad de ejercitar los derechos que el RGPD reconoce a los interesados.
Si las cámaras que instale en su empresa van a estar conectadas a una central de
alarmas, será necesario que este servicio se lo preste una empresa de seguridad
privada (solicite a dicha empresa que le acredite que cumple este requisito). Y
como dicha empresa tendrá acceso a las imágenes captadas, su empresa deberá
firmar con ella un contrato de “ acceso a datos por cuenta de terceros” .
Finalidad
Cuando la finalidad de la videovigilancia sea prevenir infracciones, evitar daños a
las personas o bienes objeto de protección o impedir accesos no autorizados, los
servicios de videovigilancia deben ser prestados necesariamente por vigilantes
de seguridad. En cambio, si el objeto principal de la videovigilancia es
únicamente la comprobación del estado de instalaciones o bienes o el control de
accesos a aparcamientos y garajes, dicha videovigilancia podrá realizarse por
personal distinto al de seguridad privada.
GDPR: INFRACCIONES Y SANCIONES
Y las más graves se sancionan con multas que pueden alcanzar hasta 20 millones
de euros o el 4% del volumen de facturación anual de la empresa (la más alta de
las dos).
Tenga en cuenta que el régimen sancionador se aplica a los responsables y
encargados del tratamiento.
En cambio, no se aplica al delegado de protección de datos.
Para fijar la cuantía de la sanción (dentro de los márgenes establecidos para cada
una de las infracciones) se tienen en cuenta una serie de criterios de graduación
(por ejemplo, el volumen de negocio o actividad del infractor, el grado de
intencionalidad, el que haya reincidencia o no, los perjuicios causados a las
personas interesadas y a terceras personas...).
Apercibimiento
No obstante, el RGPD, prevé la posibilidad de que la sanción económica sea
sustituida por un apercibimiento, para que el infractor adopte las medidas
correctoras que se le indiquen.
En todo caso, tenga en cuenta que esta posibilidad es una medida excepcional.
En este sentido, la AEPD tiene potestad discrecional para aplicarla en función de
la naturaleza de los hechos.
Cuando la AEPD apercibe en lugar de imponer una sanción económica, el
responsable del fichero o el encargado del tratamiento deberá acreditar la
adopción de las medidas correctoras indicadas por la AEPD en su resolución de
apercibimiento. En caso de no acreditarse el cumplimiento de estas medidas, la
AEPD ordenará la apertura de un procedimiento sancionador por dicho
incumplimiento, pudiendo imponer una sanción por infracción muy grave.
La AEPD ha aplicado el apercibimiento como alternativa a la sanción económica
en numerosas ocasiones.
Por ejemplo:
Por el hecho de instalar un sistema de videovigilancia en las zonas comunes de la
empresa sin informar a los afectados.
Difusión en una red social del parte de baja médica de una empleada.
Publicidad en Internet de datos médicos por parte de una clínica (aunque se trató
de un error puntual).