FAQ

¿A quién se aplica el RGPD?

El RGPD amplía el ámbito de aplicación y ahora, además de los ubicados en la Unión Europea “UE”, también se aplica a responsables o encargados de tratamientos de datos que si bien no se encentran establecidos en la UE , realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la UE.

¿Qué empresas están obligadas a cumplir la Protección de Datos?

TODAS, sin excepción, sea cual sea la forma de creación de la empresa, tamaño, actividad, servicios, ya sean profesionales autónomos o sociedades, entidades públicas o privadas, asociaciones, comunidades de vecinos, clubs deportivos u organizaciones sin ánimo de lucro. En definitiva, si recoges datos y los tratas debes cumplir.

¿Qué normativa debo cumplir?

Reglamento (UE) 2016/679 de Protección de Datos del 27 de abril del 2016 “RGPD”

Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales del 5 de diciembre del 2018 “LOPD”

Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico, del 11 de julio del 2002 “LSSI”

¿Cuáles son o plazos de adopción de las medidas de seguridad?

No hay plazos, debemos cumplir la normativa desde el momento de la creación de la empresa y antes de empezar a recoger, tratar y almacenar datos.

¿Qué es la Responsabilidad Activa?

Este nuevo principio pretende evitar que las empresas actúen solo cuando se ha producido la infracción, ya que los daños o perjuicios que se hayan generado serán de muy difícil o imposible solución.

Hay que ser PROACTIVOS no REACTIVOS.

¿Qué es Accountability?

El RGPD describe este principio como la necesidad de que el Responsable del Tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

Este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los Interesados y ante las autoridades de supervisión.

¿Hay un listado de Medidas de Seguridad que me ayuden a aplicar la normativa en mi empresa?

NO, la actual normativa deja en nuestras manos aplicar las medidas de seguridad que consideremos más oportunas para garantizar la seguridad, honor y confidencialidad de los datos personales que tratamos, lo que se denomina Responsabilidad Activa. Podremos decir que dentro este concepto, se incluyen las siguientes medidas que a normativa especifica debemos aplicar e implantar:

– Análisis de riesgo

– Registro de actividades de tratamiento u operaciones

– Evaluación de impacto sobre el tratamiento de los datos

– Disponer de un Responsable o Delegado de Protección de Datos

– Desarrollar un documento de seguridad con las medidas y procedimientos a aplicar

– Divulgar entre los trabajadores los procedimientos de seguridad

– Regular las relaciones con proveedores que acceden a datos

…

¿Qué novedades hay el RGPD respecto a los texto de información y recogida de consentimiento para el tratamiento de datos?

El RGPD especifica que el consentimiento debe ser libre, informado, específico e inequívoco. Esto quiere decir que las cláusulas adecuadas a la antigua LOPD 15/99 no valen y ahora deben ser mucho más exhaustiva en la información, debiendo especificar y detallar cada una de las finalidades, no en grupo como se hacía antes, y dando la opción a expresar el consentimiento de manera individual a cada finalidad.

Además, será necesario añadir información adicional sobre protección de datos.

Entonces, ¿puedo seguir recogiendo el consentimiento para enviar información comercial a mis clientes?

SI, pero la forma de recogerlo ha cambiado. Antes valía la NO acción (lo que se llama consentimiento tácito), ahora eso ya no vale, ahora necesitamos la acción afirmativa de nuestros clientes para poder enviarle información comercial sobre nuestro servicios y productos, es decir, deben decir “si te autorizo que me envíes información comercial” y debemos poder demostrar con posterioridad que recogimos su consentimiento afirmativo. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

El mensaje de consentimiento debe ser fácilmente comprensible para los individuos que están facilitando sus datos. Prácticas como las casillas de consentimiento preseleccionadas, sin marcar y el lenguaje confuso o poco claro (dobles negativos o lenguaje contradictorio) están prohibidos y son sancionable.

¿Qué son los derechos ARCO?, ¿hay nuevos?

Es el derecho de cualquier persona ante la entidad que tiene nuestros datos a, Acceder para saber qué datos tiene sobre nosotros, Rectificarlos, Cancelarlos u Oponerse a un determinado tratamiento..

Además, se añaden los siguientes: Supresión y Olvido, Limitación, Portabilidad, Oposición a no ser objeto de decisiones individuales automatizadas.

¿Qué es el derecho a indemnización?

El artículo 82 del RGPD, detalla que es el derecho de los interesados que hayan sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD a recibir una indemnización del responsable o encargado del tratamiento por los daños y perjuicios sufridos.

¿Hay que hacer algo respecto a los proveedores?

SI, renovar los contratos de prestación de servicios a los nuevos requerimientos, pero previamente debemos evaluar el cumplimiento del proveedor “Encargado de tratamiento”. Para ello es necesario elaborar una lista de procedimientos en relación a los principios el RGPD que nuestro proveedor debe cumplir.

Si no evaluamos incumplimos y si incumplimos las consecuencias serán una sanción.

¿Qué es una incidencia de seguridad?

“toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos”.

A modo enunciativo y no limitativo, se consideran incidencias las siguientes:

Incidencias que afectan a la identificación y autenticación:
Incidencias que afectan a los derechos de acceso a los datos:
Incidencias que afectan a la gestión de soportes:
Incidencias que afectan a los procedimientos de copias de respaldo y recuperación:
Incidencias que afectan al ejercicio de los derechos de los afectados:
Incidencias generales sobre tratamiento
……..

¿Qué hay que hacer ante una incidencia de seguridad?

Ante todo y sin dilación, comunicarla inmediatamente al Responsable de Protección de Datos o al Delegado en Protección de Datos.

En la comunicación debemos incluir toda la información que podamos aportar para ayudar en el registro de la incidencia por parte del Responsable de Protección de Datos o al Delegado en Protección de Datos (hora, fecha, descripción de la incidencia, qué se ve afectado, categoría de los datos, tipología…)

¿Puedo enviar correos electrónicos con información comercial a mis clientes sobre otra empresa, sus productos y servicios?

NO, a no ser que hayamos informado previamente y tengamos el consentimiento expreso del cliente.

¿Un email de un cliente es un dato personal?

SI, el email permite identificar directa o indirectamente a una persona y eso lo convierte en dato de carácter personal. La utilización de e-mail sin consentimiento supone la vulneración de la normativa sobre protección de datos y de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico “LSSI”.

Una persona, familiar, amigo, solicita la documentación en nombre de otra, ¿puedo entregarle esta documentación?

NO, si no tenemos autorización del primero.

Un claro ejemplo es cuando acudimos a correos a recoger una carta en nombre de otra persona, correos nos solicita la autorización del titular de esa carta.

¿Puedo grabar la llamada de teléfono con mi cliente?

SI, pero previamente debemos informar de la misma, además de toda la información sobre protección de datos como si se recogiesen los datos en cualquier otro formato o soporte.

En la presentación de nuestra empresa (jornadas, eventos divulgativos), hacemos fotos y vídeos que luego publicamos en la web o redes sociales, ¿podemos?

Recordad que el consentimiento tácito ya no es válido. Es evidente que los invitados a un acto donde hay fotógrafos pueden entender que la finalidad es dejar inmortalizado un momento puntual del mismo para publicarlo en los soportes de comunicación de la empresa, pero dado que necesitamos informar y tener el consentimiento, debemos articular procedimientos de información previos y durante el acto, por ejemplo en la invitación o mediante soportes digitales o no, en el propio evento.

¿Es obligatorio destruir la documentación mediante destructora?

NO, pero lo recomendamos.

La Ley dice que se debe destruir la documentación, pero no exige que el soporte sea una destructora, sin embargo aconseja ese medio.

¿Es aplicable la LOPD para las personas fallecidas?

La nueva LOPD 3/2018, destaca la novedosa regulación de los datos referidos a las personas fallecidas, permitiendo que las personas vinculadas al fallecido por razones familiares o de hecho o sus herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido.

¿Qué información debemos proporcionar a la persona cuando se recogen sus datos personales?

Quienes somos, datos de contacto del Responsable de Protección de Datos o del DPO (si tenemos), especificar cada una de las finalidades que vamos a dar a los datos, la legitimación para tratar los datos, cuando tiempo vamos a conservar los datos, a qué destinatarios se van a comunicar los datos, si hay transferencia internacionales de datos identificarlas y derechos que tiene el interesado y como ejercerlos.

Recuerda que debes recoger el consentimiento expreso o explícito para las finalidades.

¿Puedo crear en mi disco duro un listado con datos de personas físicas sacado de la base de datos de la aplicación que usamos en mí empresa?

SI, previa autorización del responsable lopd de la empresa.

A no ser que sea estrictamente necesario, debemos trabajar siempre sobre las aplicaciones y programas del servidor de aplicaciones.

Mi empresa ha entregado a todos los trabajadores unas cláusulas donde nos informa de los procedimientos a seguir, del tratamiento que hace con nuestros datos y un acuerdo de confidencialidad. ¿Es obligatorio cumplirlo o la obligatoriedad es sólo para la empresa?

Sin lugar a dudas SI, la normativa en Protección de Datos obliga al Responsable del tratamiento “la empresa” y a todas las personas que intervengan en el tratamiento de los datos personales a cumplir la normativa.

Hemos recibido una carta de la Policía, en la que se nos solicita los datos de unos trabajadores. ¿Podemos facilitar estos datos sin el consentimiento de éstos?

La policía como Cuerpo o Fuerza de Seguridad del Estado, tiene derecho a conocer datos personales sin consentimiento de sus titulares únicamente en el caso de que los datos resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales.

Fuera de estos casos, no es posible el tratamiento de datos por la policía, salvo que exista una Ley que permita u obligue a ese tratamiento.

¿Puedo ceder a los representantes sindicales datos de mis trabajadores?

SI, siempre que se produzca en el ámbito de las funciones desarrolladas por los representantes de los trabajadores según establece el Estatuto de los Trabajadores.

¿Puedo instalar cámaras de seguridad para control laboral?

SI, el Estatuto de los Trabajadores permite al empresario adoptar las medidas oportunas para verificar el cumplimento del trabajador respecto a sus obligaciones.

Pero, previamente deben ser informados mediante un documento que especifique con todo detalle todos los aspectos relacionados con las cámaras, como número de cámaras, situación,medidas de seguridad para evitar el acceso tanto físico como automatizado, destinatarios de las imágenes, derechos de los trabajadores, etc.

¿Tienen que firmar los trabajadores los documentos que les facilito sobre procedimientos y medidas a seguir?

NO, la normativa dice que debemos informarles y divulgar los procedimientos de seguridad que deben cumplir.

Pero, tenemos que poder verificar que han sido informados.

¿Las comunidades de vecinos deben cumplir la normativa de Protección de Datos?

Por supuesto, deben cumplir los mismos requisitos que cualquier empresa.

Una comunidad de vecinos tiene datos, de los propietarios y seguramente se los comunicará a un Administrador de fincas para que realice las tareas correspondientes para la gestión de la comunidad de vecinos.