FAQ

El RGPD amplía el ámbito de aplicación y ahora, además de los ubicados en la Unión Europea “UE”, también se aplica a responsables o encargados de tratamientos de datos que si bien no se encentran establecidos en la UE , realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la UE.

TODAS, sin excepción, sea cual sea la forma de creación de la empresa, tamaño, actividad, servicios, ya sean profesionales autónomos o sociedades, entidades públicas o privadas, asociaciones, comunidades de vecinos, clubs deportivos u organizaciones sin ánimo de lucro. En definitiva, si recoges datos y los tratas debes cumplir.

Reglamento (UE) 2016/679 de Protección de Datos del 27 de abril del 2016 “RGPD”

Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales del 5 de diciembre del 2018 “LOPD”

Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico, del 11 de julio del 2002 “LSSI”

No hay plazos, debemos cumplir la normativa desde el momento de la creación de la empresa y antes de empezar a recoger, tratar y almacenar datos.

Este nuevo principio pretende evitar que las empresas actúen solo cuando se ha producido la infracción, ya que los daños o perjuicios que se hayan generado serán de muy difícil o imposible solución.

Hay que ser PROACTIVOS no REACTIVOS.

El RGPD describe este principio como la necesidad de que el Responsable del Tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

Este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los Interesados y ante las autoridades de supervisión.

NO, la actual normativa deja en nuestras manos aplicar las medidas de seguridad que consideremos más oportunas para garantizar la seguridad, honor y confidencialidad de los datos personales que tratamos, lo que se denomina Responsabilidad Activa. Podremos decir que dentro este concepto, se incluyen las siguientes medidas que a normativa especifica debemos aplicar e implantar:

– Análisis de riesgo

– Registro de actividades de tratamiento u operaciones

– Evaluación de impacto sobre el tratamiento de los datos

– Disponer de un Responsable o Delegado de Protección de Datos

– Desarrollar un documento de seguridad con las medidas y procedimientos a aplicar

– Divulgar entre los trabajadores los procedimientos de seguridad

– Regular las relaciones con proveedores que acceden a datos

El RGPD especifica que el consentimiento debe ser libre, informado, específico e inequívoco. Esto quiere decir que las cláusulas adecuadas a la antigua LOPD 15/99 no valen y ahora deben ser mucho más exhaustiva en la información, debiendo  especificar y detallar cada una de las finalidades, no en grupo como se hacía antes, y dando la opción a expresar el consentimiento de manera individual a cada finalidad.

Además, será necesario añadir información adicional sobre protección de datos.

SI, pero la forma de recogerlo ha cambiado. Antes valía la NO acción (lo que se llama consentimiento tácito), ahora eso ya no vale, ahora necesitamos la acción afirmativa de nuestros clientes para poder enviarle información comercial sobre nuestro servicios y productos, es decir, deben decir “si te autorizo  que me envíes información comercial” y debemos poder demostrar con posterioridad que recogimos su consentimiento afirmativo. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

El mensaje de consentimiento debe ser fácilmente comprensible para los individuos que están facilitando sus datos. Prácticas como las casillas de consentimiento preseleccionadas, sin marcar y el lenguaje confuso o poco claro (dobles negativos o lenguaje contradictorio) están prohibidos y son sancionable.

Es el derecho de cualquier persona ante la entidad que tiene nuestros datos a, Acceder para saber qué datos tiene sobre nosotros, Rectificarlos, Cancelarlos u Oponerse a un determinado tratamiento..

Además, se añaden los siguientes: Supresión y Olvido, Limitación, Portabilidad, Oposición a no ser objeto de decisiones individuales automatizadas.

El artículo 82 del RGPD, detalla que es el derecho de los interesados que hayan sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD a recibir una indemnización del responsable o encargado del tratamiento por los daños y perjuicios sufridos.

SI, renovar los contratos de prestación de servicios a los nuevos requerimientos, pero previamente debemos evaluar el cumplimiento del proveedor “Encargado de tratamiento”. Para ello es necesario elaborar una lista de procedimientos en relación a los principios el RGPD que nuestro proveedor debe cumplir.

Si no evaluamos incumplimos y si incumplimos las consecuencias serán una sanción.

“toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos”.

A modo enunciativo y no limitativo, se consideran incidencias las siguientes:

  • Incidencias que afectan a la identificación y autenticación:
  • Incidencias que afectan a los derechos de acceso a los datos:
  • Incidencias que afectan a la gestión de soportes:
  • Incidencias que afectan a los procedimientos de copias de respaldo y recuperación:
  • Incidencias que afectan al ejercicio de los derechos de los afectados:
  • Incidencias generales sobre tratamiento
  • ……..

Ante todo y sin dilación, comunicarla inmediatamente al Responsable de Protección de Datos o al Delegado en Protección de Datos.

En la comunicación debemos incluir toda la información que podamos aportar para ayudar en el registro de la incidencia por parte del Responsable de Protección de Datos o al Delegado en Protección de Datos (hora, fecha, descripción de la incidencia, qué se ve afectado, categoría de los datos, tipología…)

NO, a no ser que hayamos informado previamente y tengamos el consentimiento expreso del cliente.

SI, el email permite identificar directa o indirectamente a una persona y eso lo convierte en dato de carácter personal. La utilización de e-mail sin consentimiento supone la vulneración de la normativa sobre protección de datos y de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico “LSSI”.

NO, si no tenemos autorización del primero.

Un claro ejemplo es cuando acudimos a correos a recoger una carta en nombre de otra persona, correos nos solicita la autorización del titular de esa carta.

SI, pero previamente debemos informar de la misma, además de toda la información sobre protección de datos como si se recogiesen los datos en cualquier otro formato o soporte.

Recordad que el consentimiento tácito ya no es válido. Es evidente que los invitados a un acto donde hay fotógrafos pueden entender que la finalidad es dejar inmortalizado un momento puntual del mismo para publicarlo en los soportes de comunicación de la empresa, pero dado que necesitamos informar y tener el consentimiento, debemos articular procedimientos de información previos y durante el acto, por ejemplo en la invitación o mediante soportes digitales o no, en el propio evento.

NO, pero lo recomendamos.

La Ley dice que se debe destruir la documentación, pero no exige que el soporte sea una destructora, sin embargo aconseja ese medio.

La nueva LOPD 3/2018, destaca la novedosa regulación de los datos referidos a las personas fallecidas, permitiendo que las personas vinculadas al fallecido por razones familiares o de hecho o sus herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido.

Quienes somos, datos de contacto del  Responsable de Protección de Datos o del DPO (si tenemos), especificar cada una de las finalidades que vamos a dar a los datos, la legitimación para tratar los datos, cuando tiempo vamos a conservar los datos, a qué destinatarios se van a comunicar los datos, si hay transferencia internacionales de datos identificarlas y derechos que tiene el interesado y como ejercerlos.

Recuerda que debes recoger el consentimiento expreso o explícito para las finalidades.

SI, previa autorización del responsable lopd de la empresa.

A no ser que sea estrictamente necesario, debemos trabajar siempre sobre las aplicaciones y programas del servidor de aplicaciones.

Sin lugar a dudas SI, la normativa en Protección de Datos obliga al Responsable del tratamiento “la empresa” y a todas las personas que intervengan en el tratamiento de los datos personales a cumplir la normativa.

La policía como Cuerpo o Fuerza de Seguridad del Estado, tiene derecho a conocer datos personales sin consentimiento de sus titulares únicamente en el caso de que los datos resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales.

Fuera de estos casos, no es posible el tratamiento de datos por la policía, salvo que exista una Ley que permita u obligue a ese tratamiento.

SI, siempre que se produzca en el ámbito de las funciones desarrolladas por los representantes de los trabajadores según establece el Estatuto de los Trabajadores.

SI, el Estatuto de los Trabajadores permite al empresario adoptar las medidas oportunas para verificar el cumplimento del trabajador respecto a sus obligaciones.

Pero, previamente deben ser informados mediante un documento que especifique con todo detalle  todos los aspectos relacionados con las cámaras, como número de cámaras, situación,medidas de seguridad para evitar el acceso tanto físico como automatizado, destinatarios de las imágenes, derechos de los trabajadores, etc.

NO, la normativa dice que debemos informarles y divulgar los procedimientos de seguridad que deben cumplir.

Pero, tenemos que poder verificar que han sido informados.

Por supuesto, deben cumplir los mismos requisitos que cualquier empresa.

Una comunidad de vecinos tiene datos, de los propietarios y seguramente se los comunicará a un Administrador de fincas para que realice las tareas correspondientes para la gestión de la comunidad de vecinos.