Protección de Datos

Somos consultores y auditores expertos en Protección de Datos, (Reglamento Europeo de Protección de Datos (RGPD) 2016/679 y Ley de Protección Datos Valencia (LOPD). Adecuación de su organización a todas las obligaciones sobre Protección de Datos Personales.

Ofrecemos un Seguro Antisanciones con póliza emitida a nombre de nuestros clientes (beneficiarios). Afronte esta normativa sin riegos de sanción.

 Solicite información sin compromiso en el 96 131 88 04 , en  info.valencia@audidat.com  o le contactamos nosotros:

Email


He leído y Acepto mediante marcación de esta casilla esta Política de Privacidad.

Qué es la LOPD y el RGPD

La protección de datos personales ha sido la política pública adoptada en el mundo para proteger la privacidad de los ciudadanos sin impedir la libre circulación de la información personal.

Dicha protección, surge con la sociedad de la información en el mundo contemporáneo de constante cambio y de ilimitado acceso. Su regulación se convirtió en la política pública adoptada a nivel europeo, frente al creciente uso de las tecnologías de la información, con la finalidad de establecer reglas orientadas al tratamiento o utilización de los datos personales por organizaciones privadas y proteger a la persona respecto al uso de su información personal.

Los orígenes de este Reglamento inician con la misión de homologar la protección de datos personales en toda la Unión Europea aplicándose al controlador de datos (organización con la finalidad de recolección), la organización que procesa dichos datos y el sujeto de datos que tiene estadía en la Unión Europea y a su vez favorece el desarrollo de las actividades personales, políticas, científicas y económicas.

LOPD que es

Para entender el Reglamento General de Protección de Datos personales (RGPD) es de vital importancia entender que un dato personal es toda aquella información que nos identifica. Va desde el nombre, apellidos, edad, domicilio, teléfono, correo electrónico, identificaciones oficiales, ingresos, etc., hasta información todavía más sensible: tipo de sangre, preferencia sexual, historial clínico, huella digital, creencias religiosas, etc. De manera aislada toda esta información podría parecer no tener mayor uso, sin embargo, almacenada en grandes bases de datos constituye una fuente para el desarrollo de cualquier actividad puesto que las instituciones, tanto públicas como privadas, funcionan con información personal y el cruce de datos permite crear perfiles muy completos de las personas. Los sectores financieros, de salud, educación, investigación, político, etc., requieren, forzosamente, información. Sin embargo, el uso que hacen de ella no siempre es el apropiado y su seguridad puede ser fácilmente vulnerada, con serias consecuencias para sus titulares.

Algunas de estas posibles consecuencias se reflejan en actos como: ser víctimas de fraude o secuestro, ser constantemente acosados por ofertas no solicitadas, recibir constantemente propaganda o publicidad de acuerdo con sus hábitos de consumo, ser víctimas de discriminación o chantaje, se les podrían negar ciertos servicios por su historial médico o crediticio, etc. Proteger esta información es importante para prevenir su uso indebido, robo o falsificación, etc., en perjuicio de sus titulares, y evitar que alguna de esas actividades ilícitas quede impune.

¿QUÉ ES EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS PERSONALES – RGPD?

Es el conjunto de normas jurídicas que tiene como principal función la protección de datos personales de personas físicas en posesión de empresas u organismos privados dentro de la Unión Europea.

Su origen histórico se genera a partir de que El Parlamento Europeo y Consejo decidieron homologar las leyes en materia de protección de datos personales de los países miembros de la Unión

En España, el mencionado Reglamento genera un desplazamiento normativo a la Ley Orgánica de Protección de Datos Personales de Carácter Personal (LOPD) del 13 de diciembre de 1999 y su reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, del 21 de diciembre.

El desplazamiento normativo se generará cuando alguna norma jurídica contenida en la LOPD contradiga, se oponga o manifieste lo contrario a lo concebido por el Reglamento Europeo, haciendo válido jurídicamente cualquier fundamento contenido dentro del Reglamento, por lo anterior el Reglamento en similitud de la LOPD recoge las mismas bases jurídicas

  • Consentimiento.
  • Relación contractual.
  • Intereses vitales del interesado o de otras personas.
  • Obligación legal para el responsable.
  • Interés público o ejercicio de poderes públicos.
  • Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos

El RGPD es una norma directamente aplicable, que no requiere de normas internas de transposición ni tampoco, en la mayoría de los casos, de normas de desarrollo o aplicación. Por ello, los responsables deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales, no obstante, la ley que sustituirá a la actual Ley Orgánica de Protección de Datos (LOPD) sí podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite.

El razonamiento lógico jurídico establece su origen como la situación jurídica constante de transmisión de información y expansión del mundo informático a través de los principios de principios de licitud, consentimiento, calidad, finalidad, lealtad, proporcionalidad y responsabilidad sobre el derecho de protección de datos personales

De acuerdo al numeral 26 del Reglamento en cuestión se menciona lo siguiente:

“Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por lo tanto los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación”.

Por lo que respecta a la vigencia del Reglamento de 27 de abril de 2016, este entró en vigor el 25 de mayo de 2016 sin sentido obligatorio respecto a las sanciones que en él contiene; no obstante, a lo anterior su plena aplicación se hará efectiva el 25 de mayo de 2018.

¿A QUIÉN AFECTA EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS PERSONALES?

De acuerdo al numeral 15 y 16 del Reglamento a la letra indica lo siguiente:

“La protección otorgada por el presente Reglamento debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales. El presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto.

A fin de evitar que haya un grave riesgo de elusión, la protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas. La protección de las personas físicas debe aplicarse al tratamiento automatizado de datos personales, así como a su tratamiento manual, cuando los datos personales figuren en un fichero o estén destinados a ser incluidos en él. Los ficheros o conjuntos de ficheros, así como sus portadas, que no estén estructurados con arreglo a criterios específicos, no deben entrar en el ámbito de aplicación del presente Reglamento”.

Documento de seguridad LOPD RGPD

EMPRESAS OBLIGADAS A CUMPLIR CON EL RGPD

El RGPD se aplica a los negocios, y empresas cuya actividad que constituyan el objeto social de la empresa deben incluir actividades en las que el tratamiento de datos forme una parte indisociable de la actividad del responsable o encargado del tratamiento, salvaguarda y protección de los datos correspondientes.

Nueva LOPD

SANCIONES APLICABLES EN EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

Las sanciones descritas en el RGPD tiene por objeto penalizar La no protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal por lo que las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de sanciones penales administrarán justicia en su omisión o violación.

Es de menester mencionar los siguientes criterios contenidos en el Reglamento respecto a las sanciones:

  1. A fin de reforzar la aplicación del Reglamento, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas, con carácter adicional a medidas adecuadas impuestas por la autoridad de control en virtud del presente Reglamento, o en sustitución de estas;
  2. En caso de infracción leve, o si la multa que probablemente se impusiera constituye una carga desproporcionada para una persona física, en lugar de sanción mediante multa puede imponerse un apercibimiento;
  3. Respecto a la ejecución o aplicación de la sanción se deberá prestar especial atención a la naturaleza, gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante;
  4. La imposición de sanciones, incluidas las multas administrativas, para que sean válidas, deberán estar sujeta a garantías procesales suficientes conforme a los principios generales del Derecho de la Unión y de la Carta, entre ellas el derecho a la tutela judicial efectiva y a un proceso con todas las garantías;
  5. Los Estados miembros a la Unión Europea deberán tener la posibilidad de establecer normas en materia de sanciones penales por infracciones del presente Reglamento, incluidas las infracciones de normas nacionales adoptadas con arreglo a él y dentro de sus límites; y
  6. Dichas sanciones penales pueden asimismo autorizar la privación de los beneficios obtenidos en infracción del presente Reglamento. No obstante, la imposición de sanciones penales por infracciones de dichas normas nacionales y de sanciones administrativas no debe entrañar la vulneración del principio ne bis in idem, según la interpretación del Tribunal de Justicia.

El legislador europeo ha indicado que las multas administrativas deben cumplir con una serie de características en su imposición:

  • Individuales: Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual
  • Las sanciones para que cumplan su objetivo deben aplicarse de manera cierta.
  • La sanción debe ser equitativa e idónea teniendo en cuenta los principios que la justifican y los fines que persigue
  • El objetivo de las sanciones no es otro que persuadir a los ciudadanos para que eviten infringir el reglamento.

Cada autoridad de control es la responsable de que cada actuación sancionadora se ajuste a las siguientes características señaladas:

Sanciones graves

De 10 millones de euros como máximo o, en caso de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, eligiendo la de mayor cuantía, en el caso de las siguientes infracciones:

  • Las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43
  • Las obligaciones de las autoridades de certificación según los artículos 42 y 43 (certificación y organismo de certificación).
  • Las obligaciones del organismo de control (supervisión de códigos de conducta aprobados).

Sanciones muy graves

De 20 millones de euros como máximo o, si es una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, eligiendo la de mayor cuantía, cuando no se respeten las siguientes normas:

  • Los principios básicos para el tratamiento, incluidos los requisitos para el consentimiento (principios relativos al tratamiento, licitud del mismo, condiciones para el consentimiento, y el tratamiento en las categorías especiales de datos personales).
  • Los derechos de los afectados (transparencia y modalidades, información y acceso a datos personales, derecho de rectificación y supresión, derecho de oposición y decisiones individuales automatizadas).
  • Las transferencias de datos personales a un destinatario situado en un tercer país o una organización internacional (principio general de transferencias, transferencias basadas en una decisión de adaptación, transferencias utilizando garantías adecuadas, normas corporativas obligatorias, transferencias o comunicaciones no autorizadas por el derecho de la unión, y las excepciones para situaciones específicas).

 

Modelo consentimiento RGPD

¿CÓMO ADAPTAR MI EMPRESA AL NUEVO RGPD?

A continuación, se enlistan los puntos que deberán ser considerados para adaptar una empresa de acuerdo a lo estipulado por el Reglamento, objeto de la presente investigación.

1.- Análisis del objeto social de manera de conocer las medidas indirectas que se realizan con la principal actividad.

2.- Realizar un cuadro esquemático con los datos que la empresa en cuestión solicita a la persona física. (LISTA DE VERIFICACIÓN SIMPLIFICADA)

3.- Establecer un registro de actividades de tratamiento.

4.- Definir los fundamentos de la Ley Orgánica de Protección de Datos con el Reglamento General.

5.- Identificación de medidas de seguridad.

6.- Ejercicio de derechos de los interesados.

7.- Verificación de las relaciones con los encargados del tratamiento.

8.- Redactar un aviso de privacidad que cumpla con los siguientes supuestos:

  • Informar al usuario de que datos son los que proporciona.
  • Establecer un medio de contacto, por el cual el usuario pueda ponerse en comunicación con la empresa y solicitar la actualización, modificación o cancelación de sus datos.
  • Definir los derechos que consagra el reglamento frente al Usuario.
  • Fundamentar el tratamiento, resguardo y recabación de datos personales.
  • Siempre establecer la conformidad voluntaria del usuario para que la información sea recabada por la empresa.

9.- Cumplir con auditorías para que exista el completo cumplimiento a este Reglamento.

10.- Responder las siguientes preguntas en base a su empresa:

  • ¿Ha hecho una valoración de los riesgos que los tratamientos que desarrolla implican para los derechos y libertades de los ciudadanos?
  • ¿Ha determinado qué medidas de responsabilidad activa corresponden a su situación de riesgo y cómo debe aplicarlas?
  • ¿Ha previsto cómo establecer el registro de actividades de tratamiento en su organización?
  • ¿Ha valorado si le es de aplicación alguna de las excepciones a esta obligación? ¿Ha previsto quién se encargará de mantener actualizado el registro?
  • ¿Ha revisado las medidas de seguridad que aplica a sus tratamientos a la luz de los resultados del análisis de riesgo de los mismos?
  • ¿Considera que puede seguir aplicando las medidas de seguridad previstas en el Reglamento de la LOPD?
  • ¿Ha valorado suficientemente la posibilidad de introducir medidas adicionales en función del tipo de tratamiento o del contexto en que se realiza?
  • Atendiendo al tipo de tratamientos que realiza, ¿ha establecido mecanismos para identificar con rapidez la existencia de violaciones de seguridad de los datos?
  • ¿Tiene previstas medidas de reacción frente a los diferentes tipos de quiebras de seguridad, incluidos los procedimientos para evaluar el riesgo que puedan suponer para los derechos y libertades de los afectados?
  • ¿Ha establecido procedimientos para notificar las violaciones de seguridad a las autoridades de protección de datos y, si fuera necesario, a los interesados?
  • ¿Dispone de un registro o herramienta similar en que pueda documentar los incidentes de seguridad que se produzcan, aunque no sean notificados a las autoridades de protección de datos?
  • ¿Ha valorado si los tratamientos que realiza requieren una Evaluación de Impacto sobre la Protección de Datos porque supongan un alto riesgo para los derechos y libertades de los interesados?
  • ¿Dispone de una metodología para la realización de la Evaluación de Impacto? H Según el tipo de tratamiento que realiza y los resultados del análisis de riesgos previo, ¿tiene que nombrar un Delegado de Protección de Datos?
  • ¿Ha establecido los criterios para seleccionar al Delegado de Protección de Datos y, en particular, para valorar sus cualificaciones profesionales y sus conocimientos?
  • El puesto de DPD tal y como está configurado en su organización, ¿respeta los requisitos de independencia en el ejercicio de las funciones, posición en el organigrama, ausencia de conflicto de intereses y disponibilidad de los recursos necesarios establecidos por el RGPD?
  • ¿Ha hecho pública la designación del DPD y sus datos de contacto y los ha comunicado a la autoridad de protección de datos?
  • ¿Ha establecido procedimientos para que los interesados contacten con el DPD?

CONTRATAR AUDITORÍA DE PROTECCIÓN DE DATOS

La importancia de contratar una auditoría de protección de datos, asegura a la empresa que la contrata, que profesionales en el tema crean una estrategia legal de aplicación del Reglamento General de Protección de Datos (RGPD), de acuerdo al tratamiento de los datos proporcionados por personas física (clientes); y mediante los cuales la empresa desarrolla sus actividades de forma segura, confiable y sin riesgo de recibir una sanción, multa o falta administrativa por parte de la Autoridad.

RESUMEN RGPD

El Reglamento General de Protección de Datos, es el ordenamiento que regula la protección de las personas físicas en relación con el tratamiento de datos personales, el cual es un derecho fundamental amparado por el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE), en los cuales se establece que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernen.

Los principios y normas relativos a la protección de las personas físicas en lo que respecta al tratamiento de sus datos de carácter personal deben, cualquiera que sea su nacionalidad o residencia, respetar sus libertades y derechos fundamentales, en particular el derecho a la protección de los datos de carácter personal.

El objetivo principal del Reglamento es contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y la convergencia de las economías dentro del mercado interior, así como al bienestar de las personas física y de armonizar la protección de los derechos y las libertades fundamentales de las personas físicas en relación con las actividades de tratamiento de datos de carácter personal y garantizar la libre circulación de estos datos entre los Estados miembros de la Unión Europea.

Auditoria LOPD

NOVEDADES DEL RGPD Y EL LOPD

De acuerdo a la Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento, se establecen los siguientes cambios frente a la Ley Orgánica de Protección de Datos:

El derecho a la portabilidad de los datos es una forma avanzada del derecho de acceso por el cual la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica.

Este derecho sólo puede ejercerse:

  • Cuando el tratamiento se efectúe por medios automatizados;
  • Cuando el tratamiento se base en el consentimiento o en un contrato;
  • Cuando el interesado lo solicita respecto a los datos que haya proporcionado al responsable y que le conciernen, incluidos los datos derivados de la propia actividad del interesado.

Obligaciones específicas para los encargados

ANTES:

La Directiva 95/46 y en general las leyes nacionales de transposición se centran en la actividad de los responsables.

DESPUÉS:

El RGPD, por el contrario, contiene obligaciones expresamente dirigidas a los encargados. La responsabilidad última sobre el tratamiento sigue estando atribuida al responsable, que es quien determina la existencia del tratamiento y su finalidad.

En determinadas materias los encargados tienen obligaciones propias que establece el RGPD, que no se circunscriben al ámbito del contrato que los une al responsable, y que pueden ser supervisadas separadamente por las autoridades de protección de datos. Por ejemplo:

  • Deben mantener un registro de actividades de tratamiento.
  • Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan.
  • Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD.

Los encargados pueden adherirse a códigos de conducta o certificarse en el marco de los esquemas de certificación previstos por el RGPD.

Elección del encargado del tratamiento

ANTES:

El Reglamento de Desarrollo de la LOPD establecía la necesidad de diligencia debida en la selección de encargados.

DESPUÉS:

Según el RGPD, el responsable deberá adoptar medidas apropiadas, incluida la elección de encargados, de forma que garantice y esté en condiciones de demostrar que el tratamiento se realiza conforme el RGPD (principio de responsabilidad activa).

Cambios: Los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento. Esta previsión se extiende también a los encargados cuando subcontraten operaciones de tratamiento con otros sub encargados.

Contratar un Encargado de Tratamiento sin la certeza de que cumple con el RGPD, se considera una infracción grave.

Contenidos del contrato de encargo

Las relaciones entre el responsable y el encargado deben formalizarse en un contrato o en un acto jurídico que vincule al encargado respecto al responsable, debiendo preverse aspectos como:

  • Objeto, duración, naturaleza y la finalidad del tratamientos;
  • Tipo de datos personales y categorías de interesados;
  • Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable;
  • Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones; y
  • Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados

 

Medidas de Seguridad

ANTES:

El Reglamento de Desarrollo de la LOPD determinaba con detalle y de forma exhaustiva las medidas de seguridad que debían aplicarse según el tipo de datos objeto de tratamiento.

AHORA:

En el RGPD, los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.

ANTES:

Las medidas del Reglamento de la LOPD estaban basadas casi exclusivamente en el tipo de datos que se trataban, con alguna matización relativa al contexto en que se llevaban a cabo los tratamientos.

AHORA:

El RGPD pide que se tomen en consideración más variables

 

En conclusión, el objetivo del nuevo Reglamento Europeo de Protección de Datos (RGPD) es proteger y velar por un correcto tratamiento de datos de los usuarios, permitiendo la libre circulación de datos de ciudadanos en la Unión Europea, siempre que se trate de acuerdo con los parámetros de aplicación del propio Reglamento.

 Solicite información sin compromiso en el 96 131 88 04 , en  info.valencia@audidat.com  o le contactamos nosotros:

Email


He leído y Acepto mediante marcación de esta casilla esta Política de Privacidad.

Protección de Datos
5 (100%) 10 votos