Legislación de Protección de Datos

(LOPD y RGPD)

INTRODUCCIÓN

En la era de las nuevas tecnologías, nuestros datos personales se encuentran expuestos en la red sin el control adecuado. Por eso, la legislación sobre la protección de datos ha sido implementada para otorgar a las personas un mayor control sobre su información personal. En esta se incluye la Ley Orgánica de Protección de Datos (LOPD) y el Reglamento General de Protección de Datos (RGPD)

Diferencias entre la LOPD y el RGPD

La Ley Orgánica de Protección de Datos (LOPD) es una normativa española que regula el tratamiento de datos personales a nivel nacional, mientras que el Reglamento General de Protección de Datos (RGPD) es una normativa europea que se aplica de manera uniforme en todos los países de la Unión Europea. El RGPD también se aplica a organizaciones fuera de la UE que traten datos de ciudadanos europeos, proporcionando un marco común de protección de datos. Una diferencia clave es el alcance de los derechos de los usuarios. La LOPD reconoce derechos como el acceso, rectificación, cancelación y oposición (ARCO). El RGPD amplía estos derechos, incluyendo el derecho al olvido, la portabilidad de los datos y la limitación del tratamiento. Además, el consentimiento para el tratamiento de datos es más estricto bajo el RGPD, requiriendo que sea explícito y afirmativo. En cuanto a sanciones, el RGPD impone multas significativamente más elevadas en comparación con la LOPD, pudiendo alcanzar hasta el 4% de la facturación anual global de la empresa o 20 millones de euros. También introduce la obligación de nombrar un Delegado de Protección de Datos (DPO) en ciertas organizaciones, especialmente aquellas que tratan datos sensibles a gran escala, algo que no era obligatorio bajo la LOPD. Nuestra asesoría te ayuda a entender y cumplir con ambas normativas, garantizando la protección de tu empresa y la confianza de tus clientes.

APLICACIÓN DEL RGPD

Todas aquellas empresas, entidades públicas o profesionales que manejen datos personales de terceros están obligados a cumplir el Reglamento General de Protección de Datos (RGPD). Para adaptarse correctamente al RGPD, es crucial seguir estos pasos:
  1. Consentimiento de los Clientes: Asegurarse de obtener un consentimiento explícito y afirmativo por parte de los clientes para el tratamiento de sus datos.
  2. Obligación de Informar: Informar de manera clara y transparente a los usuarios sobre cómo se recopilan, utilizan y protegen sus datos.
  3. Nombrar un Delegado de Protección de Datos (DPD): Designar un DPD en las organizaciones que traten datos sensibles o a gran escala.
  4. Firmar Contratos con Encargados del Tratamiento: Formalizar acuerdos con todas las entidades externas que procesen datos en nombre de la empresa, garantizando su cumplimiento con el RGPD.
  5. Contrato de Confidencialidad con Empleados: Establecer contratos de confidencialidad para asegurar que los empleados manejen los datos personales de manera adecuada y segura.
  6. Registro de Actividades de Tratamiento: Mantener un registro detallado de todas las actividades de tratamiento de datos personales realizadas por la organización.
  7. Análisis de Riesgos: Realizar un análisis de riesgos para identificar y mitigar posibles amenazas a la seguridad de los datos personales.
  8. Notificación de Incidentes de Seguridad: Implementar un protocolo para notificar rápidamente cualquier incidente de seguridad que pueda afectar a los datos personales.
  9. Evaluación de Impacto: Realizar evaluaciones de impacto sobre la protección de datos para actividades de tratamiento que puedan suponer un alto riesgo para los derechos y libertades de los individuos.
  10. Privacidad desde el Diseño y por Defecto: Incorporar medidas de protección de datos desde el inicio de cualquier proyecto y establecer configuraciones predeterminadas que garanticen la máxima privacidad.
  11. Página Web: Asegurarse de que la página web de la empresa cumpla con los requisitos del RGPD, incluyendo políticas de privacidad y cookies adecuadas.
  12. Nuevos Derechos de los Usuarios: Garantizar que los usuarios puedan ejercer sus nuevos derechos bajo el RGPD, como el derecho al olvido y la portabilidad de datos.

LA BASE LEGAL PARA EL TRATAMIENTO DE LOS DATOS PERSONALES

Antes de conocer los pasos que debes seguir para adaptarte al RGPD, es crucial entender qué datos puedes tratar y por qué. Solo puedes tratar los datos personales que sean necesarios para la actividad que desarrollas. Por ejemplo, un taller mecánico no puede tratar datos de salud porque no los necesita para su actividad. El tratamiento de datos solo es posible si se cuenta con una base legal adecuada. Esto significa que debes tener una justificación sólida para el tratamiento de esos datos, basada en alguna de las condiciones establecidas por el RGPD, como el consentimiento explícito, el cumplimiento de una obligación contractual o legal, el interés legítimo, entre otros.

EL CONSENTIMIENTO

La obtención del consentimiento ha cambiado significativamente con el RGPD. Anteriormente, el consentimiento tácito era suficiente, pero ahora, el RGPD requiere un consentimiento expreso y claro de tus clientes. El consentimiento tácito se refiere a la suposición de que una persona ha dado su consentimiento para el tratamiento de sus datos personales sin haberlo expresado explícitamente, basándose simplemente en el hecho de haber proporcionado esos datos. Históricamente, esto significaba que al proporcionar datos, el individuo aceptaba automáticamente su uso. Con la implementación del RGPD, esta práctica ya no es válida, exigiendo ahora un consentimiento expreso y claro, donde los clientes deben otorgar explícitamente su consentimiento para cada finalidad específica del tratamiento de sus datos. No puedes asumir su consentimiento mediante casillas premarcadas o la inacción del usuario, sino que debes asegurarte de tener consentimiento para cada propósito y documentarlo adecuadamente. Además, el consentimiento debe ser fácilmente revocable, y los clientes deben estar informados de este derecho. Es fundamental que verifiques y documentes que tienes el consentimiento de todos tus clientes antes de tratar sus datos personales. En cuanto a menores de edad, se requieren precauciones adicionales para asegurar su protección y que el consentimiento sea dado por los padres o tutores legales.

LA OBLIGACIÓN DE INFORMAR

Uno de los pilares del RGPD es la transparencia. Antes de solicitar datos personales, debes proporcionar a tus clientes información detallada y clara sobre varios aspectos importantes. Esto incluye:
  • La identidad y datos de contacto del responsable del tratamiento, y del Delegado de Protección de Datos (DPD) si corresponde.
  • La finalidad del tratamiento.
  • Quién tendrá acceso a los datos y si se transferirán a terceros países.
  • El plazo de conservación de los datos.
  • Los derechos que les corresponden a los usuarios.
  • Si es obligatorio proporcionar esos datos y las consecuencias de no hacerlo.
Esta información debe ser fácil de entender y accesible, evitando el uso de lenguaje técnico y complejo. Debes incluir esta información en el documento donde solicites el consentimiento, en correos electrónicos y en el pie de las facturas emitidas a particulares. Asegúrate de que esta información sea clara y legible.

DELEGADO DE PROTECCIÓN DE DATOS (DPO)

El RGPD introduce la figura del Delegado de Protección de Datos (DPD), un rol crucial para garantizar el cumplimiento de la normativa. El DPD es responsable de supervisar las actividades de tratamiento de datos, asesorar en cuestiones relacionadas con la protección de datos y actuar como punto de contacto con las autoridades de control, como la Agencia Española de Protección de Datos (AEPD). No todas las empresas están obligadas a tener un DPD, pero aquellas que tratan datos sensibles o a gran escala sí lo están. Designar un DPD puede ser una buena práctica incluso si no es obligatorio, ya que puede ayudar a gestionar y mitigar riesgos relacionados con la protección de datos.

CONTRATOS DE CONFIDENCIALIDAD

Para garantizar la seguridad de los datos personales, es fundamental firmar contratos de confidencialidad tanto con los encargados del tratamiento como con los empleados. Los encargados del tratamiento son terceros que prestan servicios y, para ello, acceden a datos personales que manejas, como gestorías o servicios informáticos. Debes asegurarte de firmar contratos con estos terceros que garanticen su cumplimiento con el RGPD. Además, tus empleados, que tienen acceso a toda la información que maneja la empresa, deben firmar acuerdos de confidencialidad para evitar la revelación de información a personas no autorizadas. Estos contratos deben incluir cláusulas sobre la observación de las medidas de seguridad implantadas por la empresa para proteger los datos personales.

REGISTRO DE ACTIVIDADES DE TRATAMIENTO

Mantener un registro de actividades de tratamiento es un requisito esencial del RGPD. Este documento debe reflejar el tipo de datos que manejas, la finalidad del tratamiento, dónde se almacenan, si se ceden a terceros países y los medios de tratamiento utilizados. El registro debe estar siempre actualizado y puede ser solicitado durante una inspección por la AEPD. Aunque el registro puede ser en formato electrónico, debe ser detallado y preciso, indicando todas las actividades de tratamiento de datos que realiza tu empresa.

ANÁLISIS DE RIESGOS Y MEDIDAS DE SEGURIDAD

Realizar un análisis de riesgos es fundamental para identificar y mitigar posibles amenazas a la seguridad de los datos personales. Este análisis debe evaluar los riesgos que pueden existir sobre los datos que manejas e incluir medidas de seguridad para impedir ataques informáticos. Las medidas pueden incluir el uso de antivirus, contraseñas seguras, almacenamiento seguro de datos en papel, y formación a los empleados sobre prácticas de seguridad. El RGPD establece que debes notificar cualquier brecha de seguridad que afecte a los datos personales en un plazo de 72 horas tanto a los afectados como a la AEPD. Es crucial tener un protocolo de actuación en caso de incidentes de seguridad y demostrar que has implementado todas las medidas posibles para proteger los datos. Esto puede reducir las sanciones en caso de una violación. En situaciones donde el tratamiento de datos entrañe un alto riesgo para los derechos y libertades de los individuos, debes realizar una evaluación de impacto. Este informe debe identificar los riesgos detectados sobre la protección de esos datos y las medidas necesarias para eliminarlos o reducirlos. Casos de alto riesgo incluyen el tratamiento de datos sensibles, datos de personas vulnerables, elaboración de perfiles de comportamiento, y el uso de tecnologías innovadoras. La privacidad desde el diseño y por defecto es un principio del RGPD que requiere que las empresas adopten medidas de protección de datos desde el inicio de cualquier proyecto. Esto implica que solo se deben tratar los datos necesarios para la finalidad específica, que los datos se conserven durante el tiempo necesario y que solo las personas autorizadas puedan acceder a ellos. Este principio se traduce en una serie de obligaciones prácticas para proteger los datos personales desde la fase de diseño de cualquier sistema o proceso.

PÁGINAS WEB

Si ofreces servicios a través de una página web, debes incluir varios textos legales para cumplir con el RGPD y la LSSI:
  • Aviso Legal: Debe identificar al propietario de la página web, incluyendo nombre, CIF/NIF, dirección y email, y ser accesible desde cualquier página de la web.
  • Política de Privacidad: Debe detallar cómo se utilizan los datos personales, con qué finalidad, si se ceden a terceros, y cómo los usuarios pueden ejercer sus derechos.
  • Política de Cookies: Debe informar sobre las cookies utilizadas en la página, su finalidad y duración, cumpliendo con la normativa de la LSSI.

NUEVOS DERECHOS DEL RGPD

El RGPD amplía los derechos de los usuarios con respecto a sus datos personales, incluyendo el derecho al olvido y el derecho a la portabilidad de los datos. Además, se mantienen los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Debes garantizar que los usuarios puedan ejercer estos derechos y proporcionarles una respuesta adecuada a sus solicitudes.

INFRACCIONES Y SANCIONES

El RGPD establece sanciones significativas para el incumplimiento, que pueden alcanzar hasta el 4% del volumen anual de facturación de la empresa o 20 millones de euros en los casos más graves. Además de las sanciones económicas, se incluyen medidas como advertencias, amonestaciones y la suspensión del tratamiento de datos. No hay exclusiones ni excepciones para autónomos o pequeñas empresas, por lo que es crucial comenzar cuanto antes la adaptación a la Ley de Protección de Datos. Estas son las medidas que debes implementar para cumplir con el RGPD y proteger los datos personales de tus clientes y empleados. Adaptarse a esta normativa no solo evita sanciones, sino que también fortalece la confianza de tus clientes y mejora la reputación de tu empresa. Volver

Contacto

Ponte en contacto con nosotros y te resolvemos todas tus dudas

Calle Buenos Aires, 11, 28850, Torrejón de Ardoz (Madrid)

+34 910 009 346
+34 611 850 720

torrejon@ibercontrol.com

Escríbanos

Aviso Legal: En cumplimiento del RGPD UE2016/279 y de la LSSICE 34/2002, le comunicamos que disponemos de sus datos, tratándolos de manera lícita, leal, transparente, adecuada, pertinente, limitada, exacta y actualizada. Usted se compromete a comunicarnos cualquier variación,  de lo contrario, entenderemos que sus datos no han sido modificados. Sus datos serán conservados durante el plazo estrictamente necesario hasta cumplir el fin que motivó su tratamiento, excepto que nos lo soliciten con anterioridad, y no se cederán a terceros salvo en los casos en que exista una obligación legal. Recordarle que podrá ejercer los derechos de acceso, rectificación, limitación de tratamiento, supresión, portabilidad y oposición al tratamiento de sus datos de carácter personal, así como revocar el consentimiento prestado, dirigiendo su petición al responsable del tratamiento a través de la dirección de correo electrónico asesoria@ibercontrol.com. Si no desea recibir más propuestas, responda al correo con asunto “BORRAR”.

Privacidad: Este correo electrónico y, en su caso, cualquier documento anexo al mismo, contiene información de carácter confidencial, exclusivamente dirigida a su destinatario o destinatarios. Queda prohibida su divulgación, copia o distribución a terceros sin la previa autorización escrita de la empresa. En caso de haber recibido este correo por error, se ruega notifíquese inmediatamente a IBERCONTROL ASESORIA, S.L. B78007358 y con domicilio en Alcorcón C/ Referéndum Viña Grande, 22 C.P. 28922 (Madrid)