Entradas

necesidad de un delegado

ABOGADOS protección de datos. Preguntas frecuentes

Preguntas en protección de datos. Letradox Abogados

En entorno laboral:

¿La empresa en la que trabajas puede acceder al historial de navegación del ordenador de los empleados?

Si, siempre y cuando exista una política interna de privacidad.Tiene que estipular unas de instrucciones claras y demostrables sobre el uso de dispositivos puestos al servicio del trabajador. Se ha de informar al trabajar de los criterios establecidos. Dicha información ha de ser con carácter previo y explícita  sobre el uso restrictivo de los medios informáticos. Si no es así, conllevaría la vulneración del derecho a intimidad y el secreto de las comunicaciones de los trabajadores.  

En virtud del artículo 87 LOPDGDD. (Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral). La empresa deberá establecer criterios de utilización de los dispositivos digitales. Respetando los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente. Asimismo, el acceso por el empleador al contenido de dispositivos digitales. Respecto de los que haya admitido su uso con fines privados. Requerirá que se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores.

Tales como: la determinación de los períodos en que los dispositivos podrán utilizarse para fines privados.
Los trabajadores deberán ser informados de los criterios de utilización a los que se refiere este apartado.

¿Se puede instalar GPS en los coches de empresa que utilizan los trabajadores?

Si, la legitimación que permite este tratamiento de datos personales sería en virtud del art. 6 RGPD. También el artículo 20.3 del Estatuto de los trabajadores. Establece que el empresario podrá adoptar las medidas que estime mas oportunas de vigilancia y control. Para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales.

La existencia de esta legitimación legitima que no es necesario el consentimiento previo del trabajador. Ello no excluye del cumplimiento del derecho de información del articulo 13 del RGPD. Con carácter previo, los empleadores habrán de informar de forma expresa, clara e inequívoca a los trabajadores o los empleados públicos de la existencia y características de estos dispositivos de GPS. Igualmente deberán informales acerca del posible ejercicio de los derechos de acceso, rectificación, limitación y supresión del tratamiento.

¿Se puede recoger la huella dactilar de un trabajador como sistema de fichaje para el registro horario?

En el tratamiento de la huella deben aplicarse los principios de finalidad y minimización. La huella dactilar es un dato biométrico. Dato especialmente protegido por el RGPD. Calificado como “categoría especial”.
Se deben establecer algunas garantías como la autorización del cifrado, el almacenamiento de esos datos biométricos en un dispositivo personal. Pero no en un almacenamiento centralizado o en el sistema. Como garantía para legitimar el control horario.

El sistema biométricos utilizado debería tener en cuenta que la reutilización de los datos para otros fines, no procede. Están diseñados de tal forma que se pueda revocar el vínculo de identidad.
También se podrán utilizar formatos y tecnologías que impidan la conexión de base de datos biométricos y la divulgación de datos no comprobadas.

El Gabinete Jurídico de la AEPD en su informe 65/2015. Señala que en base a los principios de proporcionalidad y minimización. Lo ideal sería que esos datos biométricos se incorporasen a una tarjeta inteligente en poder del usuario.

De ese modo para acceder a las instalaciones utilizaría la tarjeta y posicionaría su huella sobre el lector. El sistema informático central no almacenaría el algoritmo que estaría en la tarjeta personal.

En cuanto a la custodia de los datos que los trabajadores. Desde la AEPD indican que teniendo como base el articulo 34 del Estatuto de los Trabajadores y el RDLEy 8/2019. Los datos deberán guardarse durante cuatro años.

Se ha de tener en cuenta que si el sistema lo ha instalado una empresa tercera. Deberá firmar un contrato de encargado de tratamiento que defina claramente estas particularidades.

Por último, el artículo 9 del Reglamento General de Protección de Datos establece:

Que el tratamiento sea necesario para el cumplimento de obligaciones previamente establecidas. Para ejercer los derechos en protección de datos. Este es el supuesto por el que el control de la huella digital para la asistencia al puesto de trabajo estará autorizado. Habida cuenta que se busca comprobar que el trabajador cumple con su jornada laboral. En ningún caso este dato debe ser usado para otra finalidad.

Entorno web:

¿Cuáles son las obligaciones a tener en cuenta en el envío de comunicaciones publicitarias a empresas o personas que aparecen en las guías telefónicas? ¿Pueden enviar comunicaciones comerciales por email a esos destinatarios?

No, puesto que La normativa de protección de datos requiere el consentimiento para el tratamiento de la información. Pero no exigía un consentimiento expreso. En el ámbito de la LSSI (y la LGTel) se requiere que quien envíe una comunicación comercial esté en disposición de demostrar que está tratando esos datos una vez ha obtenido el consentimiento expreso.

Para el envió de comunicaciones comerciales debe tenerse en cuenta el medio por el que va a llevarse a cabo la publicidad, en tanto que la realizada por comunicaciones electrónicas resulta de aplicación la LSSICE, exigiendo consentimiento expreso.

Este consentimiento, tiene que ser expreso y previo. Es decir, al tratamiento de datos para el envío del mensaje debe precederle la autorización expresa de su receptor. A través de una manifestación activa de su voluntad consiente el uso de sus datos con dichas finalidades. Dicho de otra forma, para el uso de datos con fines publicitarios en estos dos sectores. No será posible obtener el consentimiento de forma tácita del artículo 14.2 RLOPD. Sino como prevé el RGPD de forma expresa o indubitada.

¿Podrían enviar comunicaciones comerciales a sus contactos de Linkedin? ¿Por qué?

No. Puesto que el envío de correos electrónicos publicitarios no deseados a contactos de linkedin es contrario a LOPDGDD. También a las condiciones de uso de los usuarios de Linkedin. Se ha de obtener expreso consentimiento del receptor para aceptar la recepción de dichos correos comerciales o publicitarios.

Por otra parte, se tiene que tener en cuenta que LinkedIn es una red social. No una base de datos pública.
Como tal red social, no se puede considerar como “datos manifiestamente públicos (art. 45 RDLOPD)”. Por tanto, es fundamental tener el consentimiento del receptor.

También, indicar que la AEPD en su informe jurídico 0342-2008 indica que internet es una fuente de acceso público. Sin embargo, aunque estos datos estén disponibles públicamente, no pueden ser considerados como fuente accesible al público.

¿Podrían comerciar con los datos de sus usuarios y comunicarlos a una los datos a una tercera empresa? ¿Qué aspectos legales tendría que tener en cuenta?

En virtud del informe 2011-0241 sobre la utilización de la red social con fines publicitarios.
En dicho informe señala que, en el ámbito de la red social, el hecho de abrir una cuenta no es equiparable a la de los usuarios que forman parte de ella actuando en un ámbito puramente personal o familiar, ya que aquí la finalidad es otra.

La exención domestica no resulta aplicable. Tal y como señala el Grupo de Trabajo del artículo 29, en su Dictamen 5/2009, sobre redes sociales:

– Si un usuario del servicio de redes sociales actúa en nombre de una empresa o una asociación o utiliza la red principalmente como una plataforma con fines comerciales, políticos o sociales asume todas las obligaciones de un responsable de datos que está revelando datos personales a otro responsable de datos (el servicio de redes sociales) y a terceros (otros usuarios de Servicios de Redes Sociales o, potencialmente, otros responsables de datos con acceso a los mismos) En estas circunstancias, el usuario necesita el consentimiento de las personas concernidas.

En cuanto a la información que aparece en el perfil de los usuarios de redes sociales, con carácter general, revela sus intereses y actividades a todos aquellos que tengan la condición de amigos o a todos los demás usuarios si el perfil se encuentra abierto, ahora bien, la utilización de dichos datos, incluso en el ámbito de la propia red, con fines comerciales exige que dicho tratamiento de datos sea conocido y consentido por el interesado.

En cuanto al envío de correos comerciales por terceros. La utilización del servicio de mensajería de la red social resulta igualmente de aplicación lo previsto en el artículo 21 de la LSSICE. Aquellas opciones planteadas por la red social que permiten importar datos desde otros ficheros de que disponga el consultante. Dicha importación de datos supondrá una cesión de datos al servicio de red social. Tal cesión debe sujetarse al régimen general de comunicación de datos de carácter personal.

Por tanto, la inexistencia de consentimiento de los afectados por el tratamiento para la cesión de datos a la red social dará lugar a una vulneración de lo previsto en la LOPDGDD.

¿Qué información tienen que trasladar a los usuarios para la instalación de cookies en sus terminales?

En virtud del artículo 22 de la LSSI establece que se debe facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos. Por consiguiente, la información sobre las cookies facilitada en el momento de solicitar el consentimiento debe ser suficientemente completa para permitir a los usuarios entender la finalidad para las que se instalaron y conocer los usos que se les darán. La información sobre cómo revocar el consentimiento y eliminar las cookies deberá de estar a disposición del usuario de forma accesible y permanente.

La Guía AEPD establece diferentes fórmulas para mostrar la información. Una de las fórmulas es la información por capas:

En la primera capa de información:

Se ha de mostrar cuando se accede a la página web— se ha de exponer la información más importante, claramente identificada, pidiendo el consentimiento para instalar las cookies en el navegador. En aquellos casos en que se pretenda obtener un «consentimiento tácito», será necesario advertir en este punto al usuario que si sigue navegando se considerará que ha prestado su consentimiento a la instalación de tales cookies.

El aviso deberá ofrecer la posibilidad de desactivar las cookies mediante un link que dirija a una segunda capa en la que, además, encuentre la restante información requerida por la normativa.

Información a incluir en la primera capa:

– Advertencia del uso de cookies no exceptuadas que se instalan al navegar por dicha página o al utilizar el servicio solicitado.
– Identificación de las finalidades de las cookies que se instalan.
– Información sobre si la instalación y uso de las cookies será solo del editor responsable de la web, o también de terceros asociados a él.
– En su caso, advertencia de que si se realiza una determinada acción, se entenderá que el usuario acepta el uso de las cookies.
– Un enlace a una segunda capa informativa en la que se incluye una información más detallada

Información a incluir en una segunda capa de información:

– Información sobre la definición y función de las diferentes cookies
– Información y posibilidad sobre la forma de desactivar cada uno de esos tipos de cookies enunciados de forma sencilla

¿Qué modalidades tiene la página web para requerir el consentimiento de los usuarios?

El consentimiento expreso en la recogida de datos, podría cumplirse a través de la inclusión de una casilla en una web o el envío de un correo electrónico a la persona que se ha registrado en una web para que confirme dicho registro.

Esta casilla no debe estar premarcada, ya que de esta forma no realiza una manifestación activa de su voluntad.

Este consentimiento, para que sea válido, deberá ir precedido por la información que, si se recaba a través de una página web, estará en la cláusula de privacidad y habrá de recoger los siguientes elementos:

– Quién es el responsable (identidad y datos de contacto).
– Categorías exactas de datos personales que se recogerán y tratarán.
– Finalidades determinadas, explícitas, legítimas y relacionadas con la actividad publicitaria.
– Posibles comunicaciones de datos (sectores específicos y concretos de actividad respecto de los que podrá recibir mensajes publicitarios).
– Derechos del interesado.
– Menores.
– Consentimiento (expreso para la remisión de comunicaciones comerciales).

Sobre la forma de pedirlo, dos tipos de casillas relacionadas con el consentimiento del interesado:

Casilla Opt In:

Casilla no premarcada. Que se deberá incluir en el formulario de registro de datos con la finalidad de que el interesado pueda consentir:

– El tratamiento de sus datos con la finalidad de recibir, por medios electrónicos, comunicaciones comerciales sobre productos y/o servicios que no son similares a los contratados.
– La cesión de sus datos a terceros cuando se vayan a remitir comunicaciones comerciales por medios electrónicos.

Casilla de Opt Out:

Para casos en los que haya una relación contractual previa, se hubieran obtenido los datos lícitamente y sean para productos o servicios de la propia empresa similares a los que fueron objeto de contratación. Casilla no premarcada que se deberá incluir en el formulario de registro de datos con la finalidad de que el interesado se pueda oponer al:
– Tratamiento de los datos con motivo de las finalidades indicadas en el formulario.
– Envío de comunicaciones promocionales por medios no electrónicos.
– Por medios electrónicos sobre productos y/o servicios similares a los contratados.

Foto publicada sin consentimiento ¿Cómo actuar?

Las novedades sobre la Protección de Datos ¡fácil de entender!

¿Por qué es importante la protección de datos?

– Diariamente estamos facilitando nuestros datos de carácter personal para realizar actividades cotidianas.

Y más aún, con las nuevas tecnologías los datos de carácter personal circulan por internet a una gran velocidad.

Como en compras online, reservas de viajes, transferencias bancarias…

– Hay quien dice incluso que los datos son el petróleo del siglo XXI.

– Estamos hablando de un gran mercado y es importante que exista una legislación que regule este mercado para garantizar la seguridad del mismo.

– Como usuarios necesitamos estar seguros que nuestros datos no van a ser usados para fines ilícitos o tratados de forma irregular.

– Como empresas o titulares de negocios necesitamos tratar los datos personales de forma adecuada.

No solo para evitar sanciones, también el desprestigio que supone para la empresa una mala gestión.

Como puede ser una fuga de datos.

¿Cómo adaptar mi empresa al Reglamento Europeo de Protección de Datos?

– Reglameto UE 2016/679 (RGPD)
– Cambia el modelo de gestión de la protección de datos
– Privacidad desde el diseño y por defecto
– No basta con cumplir la normativa, hay que poder demostrarlo, por lo que todo tiene que estar muy bien documentado.
– Importante contar con asesoramiento jurídico experto.
¿Qué sanciones hay en caso de incumplimiento?
Se prevén sanciones económicas de hasta 20 millones de euros o un 4% del volumen de facturación anual global de la empresa.

¿Qué es el DPO?
El Delegado de Protección de Datos es una nueva figura creada por el RGPD, obligatoria para determinadas empresas.

Pero muy recomendable para todas.

Se trata de una figura cuya principal función es coordinar y dirigir la política de protección de datos de una empresa o negocio. Y además servir de nexo de unión entre el responsable y la autoridad de control (AGPD).

Puede ser una persona de la propia empresa o contratarse a un profesional externo.

Pero,eso si, siempre será nombrado atendiendo a sus cualificaciones profesionales.

No es obligatorio que esté acreditado, sin embargo, siempre ofrecerá más garantías un DPO acreditado.
(No olvidemos que hay que acreditar el cumplimiento)

¿Cuáles son las novedades principales del Reglamento General de protección de datos?

Además de implantar el modelo de privacidad desde el diseño y por defecto y la figura del DPO.

El reglamento contiene otras importantes novedades.

– Forma de obtención del consentimiento
– Nuevos derechos para los interesados (derecho al olvido, portabilidad, limitación).
– Necesidad de notificar las violaciones de privacidad a la AGPD en un plazo de 90 días

¿Qué plazo tengo para adaptar mi empresa a lo dispuesto en la directiva?

El RGPD entró en vigor en 2016, pero él mismo retrasa su aplicación hasta el 25 de mayo de 2018.

Ese día la nueva normativa será plenamente aplicable y todas las empresas tienen que estar adaptadas a ella.

¿Qué servicios ofrece Letradox a las empresas en relación a protección de datos?
Sistema 360, acompañamos al cliente en todo el proceso.
– Implementación o adaptación (obtención del consentimiento, formación a los miembros de la empresa, Análisis de riesgos, Evaluaciones de Impacto, Registro de actividades de tratamiento…)
– Procedimientos ante la AGPD
– Procedimientos judiciales relacionados con esta materia

Puedes ver este vídeo relacionado:

 

¿Qué novedades incorpora el nuevo Reglamento General de Protección de Datos? ¿Qué tiene que hacer mi empresa para adaptarse al mismo?

A partir del 25 de mayo de 2018 será plenamente aplicable la nueva normativa europea sobre protección de datos de carácter personal.
Esta nueva legislación supone un gran cambio en todo el modelo de gestión de los datos de carácter personal a nivel europeo. Pero con implicaciones mundiales.

En este artículo vamos a repasar brevemente las principales novedades que incorpora el Reglamento General de Protección de Datos.

Y como éstas pueden afectar a nuestros negocios.

El 27 de abril de 2018 fue aprobado el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO.

Es relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Aunque fue aprobado en 2016, su artículo 99.2 determina que su aplicación se producirá a partir del 25 de mayo de 2018.

Este Reglamento es de aplicación directa en todo el territorio de la Unión.

Sin embargo, el mismo habilita a los Estado miembros a desarrollar sus propias leyes internas para desarrollar y precisar determinados aspectos del mismo.

En España, el Proyecto de Ley Orgánica de Protección de Datos se encuentra en fase de tramitación parlamentaria.

No obstante, el mismo tendrá que estar plenamente en vigor desde el momento en que sea aplicable el Reglamento General de Protección de Datos.

Cabe destacar que esta nueva normativa supone un cambio de un modelo más formalista en cuanto a las acciones a realizar por las empresas (registro de ficheros, elaboración de documento de seguridad…).

Pasa a un sistema de Responsabilidad Activa, en el que es el propio responsable quien tiene que acreditar que el tratamiento de los datos de carácter personal que está llevando a cabo es acorde con la normativa vigente.

No podemos olvidar que una de las principales novedades del Reglamento es el incremento de la cuantía de las sanciones económicas. Sobre todo en caso de incumplimiento de sus disposiciones.

Así, una empresa puede llegar a ser multada con hasta 20 millones de euros o hasta el 4% del volumen de su facturación anual.

Además, en esta era de la comunicación en la cual nos encontramos.

Con unos consumidores cada día más formados en el uso de las herramientas digitales y su implementación para realizar acciones de la vida cotidiana.

Tales como: consultar su banco online o contratar unas vacaciones.

Un error en la gestión de los datos de carácter personal imputable a una compañía puede suponer perjuicios irreparables a nivel reputacional. Pues nadie quiere tratar con una empresa que no garantice una adecuada protección de los datos personales de sus usuarios.

Por todo ello, hemos de tener muy presente la necesidad de adaptar nuestro negocio a la normativa sobre protección de datos antes de que sea demasiado tarde.

A grandes rasgos, el RGPD incorpora las siguientes novedades:

El consentimiento

Se trata de uno de los supuestos que legitiman el tratamiento de los datos por parte del responsable.
El RGPD destaca que el mismo tiene “darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen” (Considerando 32)

No será válido, por tanto, el consentimiento obtenido por omisión o inactividad.

Tratamientos de datos de menores

El RGPD fija la edad para el consentimiento de los menores en relación a sus datos de carácter personal a los 16 años. Para menores de esta edad será necesario el consentimiento de sus padres o tutores.

Sin embargo, el RGPD permite que los Estados miembros fijen una edad inferior siempre que no sea por debajo de los 13 años. Precisamente el Proyecto de la LOPD en tramitación fija en 13 años de edad la edad mínima para que un menor pueda prestar su consentimiento en esta materia.

Nuevos Derechos de los interesados

La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 contenía los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).

La nueva normativa incorpora otros derechos como:

El Derecho a la Portabilidad, el Derecho al Olvido, o el Derecho a la limitación del tratamiento.

Este Derecho a la Portabilidad se refiere a la posibilidad de obtener del responsable una copia de los datos de carácter personal que le hayamos facilitado anteriormente en un formato “estructurado, de uso común y lectura mecánica”, para poder transmitirlo a otro responsable.

El Derecho al Olvido es la concreción de los tradicionales derechos de rectificación y oposición aplicados al entorno online.

Siguiendo con la interpretación que el Tribunal de Justicia de la Unión Europea realizó de esta cuestión en su importante sentencia de 13 de mayo de 2014.

El derecho al olvido supone la posibilidad de ejercitar estos derechos frente a los buscadores.

Sin necesidad de dirigirse contra el alojador del contenido.

La limitación del tratamiento consiste en la posibilidad de solicitar al responsable del tratamiento una limitación en el uso de los datos en determinadas circunstancias.

Como son: inexactitud de los datos, ilicitud del tratamiento, que los datos ya no sean necesarios para los fines que se recogieron pero sí para la gestión de reclamaciones o que el interesado se haya opuesto al tratamiento.

Durante el tiempo que tarde el responsable en verificar que esa oposición cumple todos los requisitos.

Análisis de riesgo

Se trata de un elemento fundamental de la nueva regulación.

Es necesario determinar el riesgo que las actividades llevadas a cabo por el responsable pueden suponer para los derechos y libertades de los titulares de los datos.

Para ello se hace imprescindible el análisis exhaustivo de estas actividades.

El mismo debe quedar plasmado a través de documentos que permitan al responsable demostrar que efectivamente se ha llevado a cabo este análisis con el fin de determinar qué medidas se deben aplicar para evitar y paliar esos riesgos y cómo han de aplicarse.

Registro de actividades de tratamiento

Todos los responsables y encargados del tratamiento de datos de carácter personal deben llevar un registro de las actividades que realizan con esos datos.

El registro debe reflejar, entre otras cuestiones:

Nombre y datos de contacto del responsable,

Encargado, así como sus representantes y el Delegado de Protección de Datos;

Categorías de tratamientos efectuadas por cada responsable;

Transferencias internacionales de datos;

Medidas de seguridad activa aplicadas al tratamiento…

Evaluación de impacto sobre la protección de datos (EIPD)

Cuando el responsable pretenda llevar a cabo tratamientos que conlleven un alto riesgo para los derechos y libertades de los interesados.

Debería realizar una Evaluación de Impacto sobre la protección de datos.

La EIPD es un instrumento para determinar qué riesgos supone el nuevo tratamiento para los titulares de los datos antes de que el mismo llegue a materializarse.

Debiendo implementarse las medidas oportunas para evitarlo.

Notificación de violaciones de seguridad de los datos.

El Reglamento exige la notificación a la Agencia Española de Protección de Datos (o entidad de control competente en cada caso) de las violaciones de seguridad de los datos que se hayan producido.

Esta comunicación tendrá que producirse antes de transcurridas 72 horas desde que el responsable tenga conocimiento de la misma.

Se exceptúan de esta obligación aquellos casos en que se considere improbable que dicha violación de la seguridad pueda afectar a los titulares de los datos.

Cualquier violación de la seguridad tiene que estar documentada.

Delegado de Protección de Datos

Es una nueva figura creada por el Reglamento General de Protección de Datos que será obligatoria para los siguientes casos:

– Autoridades u organismos públicos.

– Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática a gran escala.

– Responsables o encargados que tengan entre sus actividades principales el tratamiento de datos personales de categorías especiales de datos (datos sensibles).

Además, el Proyecto de Ley Orgánica de Protección de Datos, actualmente en tramitación, amplía los supuestos obligatorios a otros.

Como: colegios profesionales, centros docentes de enseñanza reglada.

También entidades que exploten redes y presten servicios de comunicaciones electrónicas.

O incluso prestadores de servicios de la sociedad de la información, establecimientos financieros de crédito.

Entidades aseguradoras y reaseguradoras, entidades que desarrollen actividades de publicidad y prospección comercial…

Transferencias internacionales

En esencia sigue el mismo régimen que la normativa anterior.

Aunque incorpora algunas novedades como las siguientes:

Se amplían los elementos para ofrecer garantías de la seguridad de la trasferencia.

Como son las Normas Corporativas Vinculantes, los Códigos de Conducta o los Esquemas de Certificación.

En estos casos no se hará necesaria la autorización por parte de la autoridad de control.

También se añade la posibilidad de que el responsable pueda transferir datos a terceros países.

Sobre todo que no presenten un nivel adecuado de protección. Si esa transferencia es necesaria para servir a intereses legítimos imperiosos del responsable del tratamiento.

Si no prevalecen sobre ellos los intereses o los derechos y libertades del interesado. Y si el responsable ha evaluado todas las circunstancias concurrentes en la transferencia de datos.

Por todo lo dicho, podemos concluir que es necesario adaptarse lo antes posible a esta nueva regulación.

Y hacerlo asesorado por abogados expertos en la materia que puedan guiarnos en las fases de la aplicación.

Estableciendo un plan de trabajo y asegurándose que cada gestión realizada es acorde a derecho.

Solo de este modo podremos evitar:

Tanto la imposición de sanciones por parte de la Agencia Española de Protección de Datos.

Como el desprestigio que puede producir una gestión inadecuada de los datos de carácter personal.

Te estamos esperando para ayudarte a la nueva normativa de protección de datos.

Llámanos a los tlf. 645958948 / 912980061 / info@letradox.es

 

Abogados asesoramiento protección de datos

Todo sobre PROTECCIÓN DE DATOS. Abogado. LETRADOX

 

LETRADOX ABOGADOS

 

 

Despacho de abogados en Alcalá de Henares

 

 

Bufete de abogados en Madrid

 

 

Tlf. 912980061 /  (+34) 645958948

 

 

 

 

Sede central: C/ Jorge Juan nº141. Madrid.
 

 

 

 Abogado Protección de Datos. Madrid. LETRADOX

 

 

El nuevo Reglamento de protección de datos, que entrará en vigor el próximo año. Introduce cambios en la regulación de la política de datos.

 

Entre tales cambios destaca los que obligan a disponer en plantilla de un oficial de protección de datos. Sobre todo a las empresas que trabajen con información profesional a gran escala.

 

Otro aspecto es el que complica la forma de obtener datos personales. Ya que los usuarios tienen que confirmar de forma activa que están de acuerdo con el uso de sus datos. Y además la empresa tiene que dejar muy claro el propósito por el que piden tales datos.

 

Esta normativa no afecta solo a empresas europeas. Sino a aquellas que procesen datos de ciudadanos europeos, independientemente de si está establecida o no en la Union Europea.

 

El nuevo reglamento distingue entre los controladores de datos( la organización que determina los propósitos y medios del procesamiento de datos personales). Y los procesadores de datos( el usuario que procesa los datos en nombre de otros).

 

De esta forma, el consumidor tiene nuevos derechos. Como el de recibir información clara sobre los datos que se están almacenando y la forma de corregirlos o eliminarlos por completo.

 

Del mismo modo, todas las empresas están obligadas a comunicar las brechas de seguridad que pudieran producirse. Por lo que deberán extraer información constante sobre los intentos de intrusión y los accesos no autorizados y notificarlos en el plazo correspondiente. También será obligatorio comunicar los detalles del fallo a las personas cuyos datos hayan podido verse afectados.

 

 

El Reglamento ha entrado en vigor el 25 de mayo de 2016. Pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018.

 

Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, así como la Ley Orgánica 15/1999, de 13 de Diciembre, siguen siendo plenamente válidas y aplicables.

 

Por ello, puede ser útil para las organizaciones que tratan datos, empezar ya a valorar la implantación de algunas de las medidas previstas. Siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD. Que sigue siendo la norma por la que han de regirse los tratamientos de datos en España ya que se prevén sanciones millonarias para las empresas que incumplan la normativa. Por lo que sería recomendable acreditar su cumplimiento mediante un Sistema de Gestión de Seguridad de la Información y considerar la privacidad de forma previa a cualquier tratamiento de datos.
 
 
Tal como señala la Agencia Española de Protección de Datos. El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la Directiva del año 1995, y a la actual normativa vigente nacional y que comenzará a aplicarse el 25 de mayo de 2018. El periodo dos años es un periodo de adaptación y preparación. O dicho de otro modo, tiene como objetivo permitir que los Estados Miembros de la Unión Europea, así como las Instituciones y también las empresas y organizaciones que trabajan con datos se vayan preparando y adaptando para el momento en que el Reglamento sea aplicable. 
Del análisis del Reglamento europeo se despliegan varios conceptos y realidades que se deberán garantizar en todos los Estados Miembros de la Unión. De este modo, se intenta crear un espacio unificado sobre las libertades y derechos de todos los ciudadanos con respecto al tratamiento de los datos de carácter personal y su información privada.
Con el objeto de que la nueva ley entre en vigor sin demora. Esto es, desde que se inicie la vigencia del Reglamento Europeo en mayo de 2018. El propio Consejo de Ministros ha recibido del Ministerio de Justicia el pasado 24 de junio el anteproyecto de la ley. Aún debe ser objeto de consultas, dictámenes  e informes que se estimen necesarios. Incluso, la consulta a los ciudadanos y entidades afectadas, sin olvidar el Dictamen del Consejo de Estado. La forma escogida es la de Ley Orgánica, se tratará de un texto amplio de unos 78 preceptos.
Según señala el mismo Reglamento ‘’Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes’’
Una figura que deberá crearse en «cualquier empresa que sea prestador de servicios de la sociedad de la información según la ley -que serían a día de hoy cualquier compañía que tenga una actividad económica en Internet (portal web, compra venta online, etcétera)- deberá contar con un DPO’’, comenta Jesús Yáñez, socio del área de privacidad de Ecija,  en el Diario Digital de Expansión.
Además, se establecen sanciones mucho más severas. Frente a los responsables o encargados del tratamiento de aquellos datos que vulneren la normativa de protección de datos. En esta línea, conllevarían unas multas de hasta 20 millones de euros o el 4 % del total del volumen de negocios anual del ejercicio financiero anterior.
Algunas de las medidas que se proponen en el nuevo Reglamento son una continuación de las anteriores. Es decir, un desarrollo; no obstante, otras tantas constituyen prácticas a reformular. Por tanto, implicará muchas reformas en el sistema de Protección de Datos de todas las entidades públicas y privadas.
Por último, un cambio importante en el nuevo Reglamento tiene que ver con el concepto de ‘consentimiento’ pues con carácter general, se exigirá que sea libre, informado, específico e inequívoco. ¿Cómo se considera que es inequívoco? El Reglamento obliga que haya ‘’una declaración de los interesados o una acción positiva que indique el acuerdo del interesado’’. Es decir, imposibilita su deducción por silencio o de la omisión de actuación de los propios ciudadanos.
Por ende, las empresas deberán analizar y revisar cada una de las formas en que se llegan a obtener y registrar los consentimientos. Es decir, no puede practicarse el denominado consentimiento tácito (prácticas aceptadas en la actual norma, pero no para la que será de aplicación en un futuro cercano).
¿Tiene alguna duda? Llámenos sin compromiso y conozca todo lo que LETRADOX ABOGADOX puede hacer por usted. Tlf. (+34) 645958948 o bien envíenos un email a info@letradox.es
Gracias a todos nuestros clientes y seguidores de redes sociales por hacer de LETRADOX el despacho más recomendado.
Atentamente,

 

Mercedes de Parada Rodríguez
Abogada nºcol. 118.218 ICAM

 

LETRADOX ABOGADOS

 

 

 

 

 

Abogado en Alcalá de Henares

 

Abogado Madrid

 

 Y Abogado España.