administrador Antonio Rodríguez Castro-

Ley de Protección de datos en solo 10 minutos

Written by:Antonio Rodríguez CastroPosted on:

Qué empresas que están obligadas por la Ley de Protección de datos?

Deben cumplir con la Ley de protección de datos todas las entidades públicas y privadas que utilicen cualquier dato personal en el desarrollo de sus actividades.

Es decir, si en tu trabajo diario tratas datos personales de terceros, por ejemplo: datos de proveedores, datos de clientes, datos de contactos de tu web, datos de suscriptores, datos de empleados, alumnos, pacientes, datos de navegación de usuario que recabas mediante cookies analíticas, etc., debes cumplir con la Ley de protección de datos, sin excepciones.

Todas las empresas que traten datos personales de ciudadanos europeos, independientemente de su tamaño, están obligadas a cumplir con la Ley de protección de datos europea, el RGPD.

Da igual que seas autónomo o empresa, tengas o no empleados, pertenezcas al sector público o privado, si eres una ONGs o una entidad sin ánimo de lucro; debes cumplir las exigencias de la ley de protección de datos y ofrecer las garantías suficientes a todos los que te facilitan sus datos.

Lo que hace el Reglamento es establecer excepciones a esta obligación de cumplimiento, que puedes en el artículo 2 sobre el ámbito de aplicación material del Reglamento, donde la excepción más importante son las “actividades exclusivamente personales o domésticas”.

Es decir, la agenda de contactos personales de tu teléfono se puede considerar no sujeta al RGPD, pero una simple sección de comentarios de un blog (que recoge nombre y email del comentarista) sí lo estaría (salvo que el blog se pudiese considerar de uso exclusivamente personal, cosa que parece difícil si se trata de un blog público).

La Ley de Protección de datos del 2018 para PYMES y autónomos

En protección de datos, el tamaño no importa. Los pequeños profesionales autónomos y por supuesto, las PYMES, también están sujetos a la Ley.

Está claro que, a menores tratamientos de datos, menores exigencias; las medidas de seguridad dependerán esencialmente del nivel de riesgo que entrañan esos tratamientos. No es lo mismo tratar datos de salud o de antecedentes penales, que un simple dato de contacto.

Qué necesitas hacer para cumplir con la nueva LOPD

Hay una serie de trabajos y documentación mínima que tiene que realizar cualquier PYME o autónomo que trate datos personales, para adecuarse al RGPD y a la nueva LOPD.

Veamos cuáles son:

Crear tu registro de actividades del tratamiento (RAT)

Aunque el término suena rimbombante, éste es un simple documento interno que defina todos los tratamientos que realizas y las medidas de seguridad que aplicas.

Es un documento obligatorio y puede ser requerido por la autoridad de control (la agencia de protección de datos) en cualquier momento. Deberá estar actualizado en todo momento.

Más abajo te remito a modelos de plantillas que puedes usar para crear el tuyo.

Establecer protocolos de ejercicios de derecho, modelos de ejercicio y modelos de respuesta

Esto es algo básico para responder a los derechos que tienen los ciudadanos sobre su información personal, derechos a acceder, rectificar, limitar, oponerse o suprimir la información que le pertenece.

¿Podrías atender eficazmente a estos derechos si alguien te lo requiriera ahora mismo?

Es algo vital que sepas hacerlo, hay un plazo legal para dar respuesta y la negativa a responder es una infracción grave.

Establecer protocolos de declaración de brechas

El RGPD exige que siempre que tengas conocimiento de una brecha de seguridad que exponga información personal de otros tratada bajo tu responsabilidad.

Debes poner en conocimiento de esa brecha a la agencia de protección de datos y a los propios afectados; es decir, debes comunicar a esas personas que sus datos han sufrido un ataque para que tomen las medidas necesarias (cambiar contraseñas, etc.).

Para hacer todo esto bien, debes contar con modelos para notificar oficialmente a ambos, autoridad y afectados.

Contratos de confidencialidad y obligaciones RGPD para trabajadores y colaboradores

Una cuestión básica es informar a todas las personas que tienen acceso a información de terceros sobre sus obligaciones y responsabilidad respecto al tratamiento de datos que realizan.

Se trata de crear una cultura de protección de datos en tu organización, porque de poco servirán las mejores medidas de seguridad si tus empleados no las conocen

Cláusulas específicas de información de uso obligatorio a incluir en todos los formularios

Debes incluir estas cláusulas en los lugares de captura de datos personales, en función de la finalidad de la información recogida.

La transparencia informativa es una pieza clave en el RGPD; se exigen nuevos mecanismos de información previa al tratamiento, esto te obligará a revisar todos tus sistemas de captura, tanto online como offline y asegurarte que informas correctamente, es decir, en una primera y segunda “capa” (diferentes momentos en la recogida).

También deberás garantizar que el consentimiento está presente en los casos en los que es preciso, por ejemplo, en los tratamientos de datos de personas en donde no exista otra base legal que legitime el tratamiento, como pueden ser los suscriptores o leads que recabes en tus campañas

Los principios y conceptos básicos de la Ley de Protección de datos y RGPD

Toda persona tiene derecho a protección de los datos personales que le conciernen; a partir de ahí, lo que debes saber es que no deberías tratar datos de terceros si no conoces esos derechos.

También se basa en algunos principios básicos, digamos que son las normas de circulación en el mundo de la protección de datos; estos principios son:

  • Los datos personales deben ser tratados de forma lícita, leal y transparente: básicamente se trata de tratar datos con máxima honestidad, informando con absoluta transparencia sobre todo lo que afecta al tratamiento, incluyendo el responsable, la finalidad, y los derechos que le asisten.
  • Los datos personales deben ser recogidos con fines determinados explícitos y legítimos: tratando los datos exclusivamente para las finalidades para las que fueron recogidos e informando y con una base legal que legitime el tratamiento, como el consentimiento explícito o la relación contractual.
  • Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con el tratamiento:se trata de no requerir más información que la estrictamente necesaria para la finalidad; es de sentido común, tendemos acumular sin ser conscientes de que, a más información, mayor riesgo. Debemos ajustarnos a los principios de minimización, menos es más en protección de datos, no solicites más datos que los necesarios.
  • Los datos personales deben ser exactos y estar siempre actualizados:los datos personales envejecen y se transforman constantemente; debes asegurarte de que tus bases de datos se mantienen actualizadas y que responden a la realidad.
  • Los datos personales deben mantenerse de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento.¿Sufres el síndrome de Diógenes? ¿Tiendes a acumular? Será importante que analices el ciclo de vida de cada registro y establezcas un sistema que te permita eliminarlo cuando no haya una finalidad que justifique su almacenamiento. Por ejemplo: un potencial cliente que te requiere un presupuesto hace 5 años ¿deberías mantener ese registro?; un CV de hace 3 años ¿tienen sentido almacenarlo cuando ya no está actualizada esa información y no vas a llamar nunca a ese candidato?
  • Los datos personales deben ser tratados de tal manera que se garantice su seguridad: Para eso deberás realizar un análisis de riesgo que establezca las medidas de seguridad adecuadas al riesgo, aplicarlas y supervisarlas periódicamente, aplicando técnicas de cifrado de datos, controles de acceso, copias de respaldo, antivirus, etc. Todo lo necesario para garantizar la integridad, la disponibilidad y la confidencialidad de esos datos que afectan a personas.
  • Qué es un dato personal?
  • Se define como dato personal cualquier información relativa a una persona física identificada o identificable, eso incluye imagen, voz, información biométrica, una dirección IP, es decir, cualquier dato que nos permita identificar a alguien.
  • Son datos personales también:
  • Nombre y apellidos, domicilio, dirección de correo electrónico, DNI, datos de geolocalización, etc.
  • He escuchado muchas veces esto: “yo solo tengo un blog sin formularios para monetizarmediante anuncios, no recojo ningún dato personal”.
  • Pues sí que recoge información personal, porque las cookies publicitarias recaban datos del usuario y le “persiguen”para mostrarles anuncios vinculados a sus búsquedas; por tanto, hay un tratamiento de datos personales sujetos al RGPD y la nueva LOPD, aunque no haya ningún formulario.

Qué es (era) un fichero de datos personales?

Las leyes evolucionan y los conceptos también.

Hemos pasado de llevar un registro de los ficheros, que había que declarar en la Agencia de protección de datos, a que sea exigible llevar un registro de los tratamientos interno, el registro de actividades del tratamiento (RAT) del que hablaba antes.

La antigua LOPD contemplaba la expresión de ficheros y los definía como “un conjunto organizado de datos de carácter personal, independientemente de cuál sea la forma o modalidad de creación, almacenamiento, organización y acceso”.

Por ejemplo, “ficheros de recursos humanos”“fichero de clientes”, etc. El RGPD y la nueva LOPD suprimen esta expresión y la reemplazan por la palabra “tratamiento”. Ya no se habla de “ficheros de datos personales”, sino de “tratamientos de datos personales”.

Por su parte, se denomina “tratamiento” a cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Para que entiendas mejor la diferencia, a un solo fichero, por ejemplo, el fichero “clientes” se le pueden atribuir diferentes tratamientos, como:

  • La prestación de un servicio o venta de un producto.
  • Envío de publicidad de otros productos o servicios de la organización.
  • Envío de información sobre eventos organizados por la empresa.

El documento de seguridad en el RGPD

En la antigua LOPD, se establecía la obligatoriedad de elaborar un Documento de Seguridad por parte de los responsables de los ficheros.

Este documento debía identificar los ficheros y especificar las medidas técnicas y organizativas en función los ficheros. Este documento debía de ser de obligado cumplimiento por parte del personal con acceso a los sistemas de información.

Las medidas de seguridad podían de tipo bajomedio o alto.

Con la llegada del RGPD, desaparece el Documento de Seguridad, igual que desaparecen los ficheros.

En su lugar, se exige al responsable del tratamiento y en su caso, del encargado, un registro de actividades de tratamiento que describa esas actividades y las medidas de seguridad aplicadas.

En lugar de establecerse por niveles (alto-medio-bajo) el RGPD establece que esas medidas serán establecidas en función al riesgo detectado, para lo cual se exige un análisis de riesgo previo al tratamiento.

El registro de actividades de tratamiento o RAT, deberá incluir:

  1. Nombre y datos de contacto del responsable y, en su caso, del corresponsable, representante del responsable y del delegado de protección de datos.
  2. Finalidades del tratamiento.
  3. Categoría de interesados y categoría de datos personales.
  4. Categoría de destinatarios a quienes se comunicaron o comunicarán datos personales, así como terceros países u organizaciones internacionales.
  5. Transferencias de datos personales a un tercer país o una organización internacional.
  6. Plazos previstos para la supresión de los datos, cuando sea posible.
  7. Descripción general de las medidas técnicas y organizativas de seguridad.

El RAT incluye básicamente, la declaración de ficheros y el documento de seguridad; es una fusión de ambos.

La figura del responsable del tratamiento de datos

El responsable del fichero es la persona física o jurídica que decide sobre el tratamiento de los datos; con qué finalidad se van a utilizar, con quién se van a compartir, durante cuánto tiempo se van a conservar, etc.

Por ejemplo, si tú tienes una web con un formulario de suscripción, eres responsable de ese tratamiento en tanto eres la persona que decide sobre la finalidad con que vas a tratar esos datos.

El responsable del tratamiento deberá determinar si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado.

La figura del encargado del tratamiento de datos

Por su parte, el encargado del tratamiento es la persona física o jurídica que trata datos personales por cuenta del responsable del tratamiento.

Normalmente, se trata de un tercero que realiza determinadas tareas por encargo del responsable, como una gestoría, un webmastser, una empresa de email marketing.

Es decir, siempre que, como responsable, tengas que compartir datos de clientes, empleados, suscriptores, etc. con otra empresa o un autónomo para que realicen un trabajo para ti que implique el tratamiento de estos datos, estamos hablando de una relación de encargo de tratamiento que implica la presencia de un contrato de encargo que defina las condiciones del tratamiento, finalidades, obligaciones, etc.

Recuerda que antes te explicaba que el RGPD refuerza las exigencias en esta materia y obliga a los responsables a acreditar mayor diligencia en la elección de los encargados y que solo elijas aquellos que acrediten garantías de cumplimiento.

Los datos especialmente protegidos en la LOPD y RGPD

Entendemos por datos sensibles, o especialmente protegidos, aquellos que tienen una especial incidencia en la intimidad, las libertades públicas y los derechos fundamentales de la persona.

Desde esa perspectiva y debido a su impacto en la privacidad de las personas, se requiere un nivel mayor de protección.

En la antigua LOPD, entre los datos especialmente protegidos encontrábamos: datos de ideología, religión, creencias, origen racial, salud, vida sexual, comisión o infracciones penales o administrativas.

Con el RGPD, se mantienen los datos que la antigua LOPD definía como especialmente protegidos y añade tres categorías más:

  • datos genéticos,
  • datos biométricos,
  • orientación sexual.

Por otra parte, se exigen nuevas condiciones para su tratamiento, como la seudonimización o anonimización, el cifrado, la necesidad de un informe de impacto sobre la privacidad (EIPD).

También se exige recabar el consentimiento explícito y específico para una finalidad concreta.

Las transferencias internacionales de datos en el RGPD

Este concepto es muy relevante en protección de datos en un contexto de sociedad digital globalizada en donde, de forma habitual, utilizamos herramientas que almacenan datos personales que están ubicadas en países fuera de la Unión Europea. Es el caso de herramientas de email marketing, analíticas o incluso redes sociales.

Se entiende como transferencia internacional de datos, la transmisión de datos personales desde el Espacio Económico Europeo, es decir, los países de la UE más Liechtenstein, Islandia y Noruega a otros países fuera de la Unión europea.

Por ejemplo: si tienes un simple blog con un hosting situ en EEUU, los comentarios (que se almacenan en la base de datos de WordPress) serían una transferencia internacional de datos a EEUU, porque se envían y almacenan en un servidor en EEUU. Por la misma lógica, si tu hosting es español, no lo son.

La transferencia internacional de datos exige que solo se puede llevar a cabo si se cumplen una serie de condiciones establecidas en el RGPD, de tal forma que el nivel de protección de los derechos y libertades de las personas no se vea vulnerado.

De esta manera, el responsable y el encargado del tratamiento pueden transferir datos a un tercer país u organización internacional, si se han establecido las garantías adecuadas y los afectados cuentan con los derechos exigibles y acciones legales efectivas.

Entre estas garantías están:

  • Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
  • Normas corporativas vinculantes.
  • Cláusulas tipo de protección de datos adoptadas por la Comisión.
  • Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión.
  • Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.
  • Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.

Recuerda que, si la transferencia internacional de datos es consecuencia de una prestación de servicios, debes suscribir un contrato de prestación de servicios por tercero conforme a lo dispuesto en el art. 28 del RGPD.

Toda esta complejidad en la práctica queda muy reducida, porque las empresas internacionales “serias” como SiteGround (hosting), MailChimp (email marketing), etc. disponen de contratos con cláusulas tipo adoptadas por la comisión, que puedes descargarte.

También es importante que adviertas de estas transferencias en tus cláusulas informativas y que requieras un consentimiento específico con esta transferencia.

Recuerda que, siempre que vayas a compartir datos con una empresa fuera del territorio español, deberás:

  • Averiguar primero si se trata de un país connivel adecuado de Protección de Datos. De momento, estos son los países que cuentan con ese nivel: Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda.
  • Privacy Shield: Si se trata de empresas radicadas en los Estados Unidos, que se trate entidades certificadas en el marco del Escudo de privacidad UE-EEUU (Privacy Shield). Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016.

De nuevo, las empresas conocidas suelen haber hecho sus deberes y ya están preparadas en sus contratos contigo para todo esto. Para ti, será poco menos que automático al firmar el contrato de servicio (o actualizarse el existente).

No obstante, conviene asegurarte de que realmente es así y que aporten algunas de las garantías indicadas en el apartado anterio

El consentimiento reforzado

Se incorpora la necesidad de un consentimiento real, verificable y granular; es decir, que sea específico.

No puedes requerir un consentimiento genérico para diferentes finalidades. No debe deducirse del silencio, ni valen las casillas marcadas de antemano.

Todos tus formularios deben incluir un sistema que recabe el consentimiento de acuerdo con estos requisitos y que permita acreditarlo; concretamente, un formulario que no incluya una casilla que genere a su vez un registro, es un formulario granada, puede estallar en cualquier momento.

El RGPD nos obliga a reformular todas nuestras estrategias, en especial, las de marketing.

La nueva figura del delegado de protección de datos

Esta figura ya estaba presente en otros países, el RGPD la impone en determinados supuestos como:

  • Si el tratamiento de los datos corre a cargo de una autoridad u organismo público.
  • Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala.
  • Si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.

Lo más relevante que debes saber es que el delegado de protección de datos es la persona que actúa como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos.

Tiene que tener determinadas cualidades y acreditar conocimientos. De hecho, ya hay un registro oficial de delegados de protección de datos certificados de diferentes entidades.

Entre sus muchas funciones, el delegado de protección de datos podrá inspeccionar los procedimientos relacionados con el cumplimiento del RGPD y emitir recomendaciones en el ámbito de sus competencias.

Tampoco podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones, salvo que incurriera en una negligencia grave en su ejercicio.

Por supuesto, el RGPD y la nueva LOPD establecen que se debe garantizar su independenciadentro de la organización, debiendo evitarse cualquier conflicto de intereses.

El cambio de los tres niveles de seguridad a…

Los niveles de seguridad previstos en la antigua LOPD no seguirán siendo válidos con el RGPD.

Como te explicaba antes, cambia el enfoque de la seguridad, se abandona la estandarización el niveles bajo, medio, alto y se pasa a un modelo basado en el enfoque de riesgo.

Podrás seguir aplicando las mismas medidas que establecía la antigua LOPD, si el resultado del análisis de riesgos previo indica que las medidas que estabas aplicando son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado.

Lo que es evidente es que tendrás que realizar ese análisis de riesgo y establecer las medidas técnicas y organizativas en función de:

  1. El coste de la técnica.
  2. Los costes de aplicación.
  3. La naturaleza, el alcance, el contexto y los fines del tratamiento.
  4. Los riesgos para los derechos y libertades.

Para resumir y clarificar:

En la antigua LOPD, estaban definidas y tipificadas con detalle las medidas de seguridad que debían aplicarse según el tipo ficheros.

Con el RGPD los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado, en función de los riesgos detectados en el análisis previo.

Además, el RGPD exige que se tome en consideración el principio de r

Modelo de consentimiento tipo párrafo

Este modelo es un simple texto.

Información básica de protección de datos

Le informamos que sus datos personales serán tratados por “NOMBRE DEL RESPONSABLE” con la finalidad de ___________________.

Sus datos podrán ser cedidos a las entidades necesarias para realizar esta gestión: __________________________________.

Este tratamiento de datos es necesario para ______________________ y sus datos serán conservados ________________ o durante los plazos de prescripción marcados en la ley.

Ud. puede ejercer sus derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento de sus datos dirigiéndose a “NOMBRE DEL RESPONSABLE”, con domicilio fiscal en DIRECCION o a CORREO ELECTRONICO, acompañando copia de su DNI acreditando debidamente su identidad.

En cualquier situación, Ud. tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

Información adicional: enlace a la política de privacidad

En………….., a ….. de……………….de 20..

Firma del interesado:

<firma>

  1. Tipo lista (igual que lo anterior, pero en formato lista)

Este modelo, más compacto, se presenta como una pequeña lista de puntos.

Información básica de protección de datos

Responsable:

Finalidad:

Derechos:

Información adicional

<enlace política privacidad>

FACILITA RGPD

Herramienta de ayuda para empresas que realicen un tratamiento de datos personales de escaso riesgo para el cumplimiento del Reglamento General de Protección de Datos

El Reglamento General de Protección de Datos (RGPD) se aplica desde el 25 de mayo de 2018. Con la finalidad de facilitar la adecuación al RGPD a las empresas y profesionales (responsables o encargados de tratamientos) que traten datos personales de escaso riesgo para los derechos y libertades de las personas, la Agencia Española de Protección de Datos pone su disposición la herramienta.

Facilita RGPD es una herramienta fácil y gratuita. Una vez finalizada su ejecución, los datos aportados durante el desarrollo de la misma se eliminan, por lo que la Agencia Española de Protección de Datos en ningún caso puede conocer la información que haya sido aportada.

Ha sido diseñada como un recurso útil para cualquier empresa o profesional, ya que con tan solo tres pantallas de preguntas muy concretas permite a quien la utiliza valorar su situación respecto del tratamiento de datos personales que lleva a cabo: si se adapta a los requisitos exigidos para utilizar Facilita RGPD o si debe realizar un análisis de riesgos.

Facilita RGPD no podrá utilizarse para tratamientos que impliquen un alto riesgo para los derechos y libertades de las personas, como datos de salud o tratamientos masivos de datos, entre otros.

La herramienta genera diversos documentos adaptados a la empresa concreta, cláusulas informativas que debe incluir en sus formularios de recogida de datos personales, cláusulas contractuales para anexar a los contratos de encargado de tratamiento, el registro de actividades de tratamiento, y un anexo con medidas de seguridad orientativas consideradas mínimas.

Facilita RGPD está orientada a empresas que tratan datos personales de escaso riesgo, como por ejemplo, datos personales de clientes, proveedores o recursos humanos.

Tenga en cuenta que Facilita RGPD es una ayuda y, por tanto, la documentación resultante deberá estar adaptada y actualizada a la situación de los tratamientos que se lleven a cabo en su entidad. La obtención de los documentos no implica el cumplimiento automático del RGPD.

Enlace a la herramienta.

Importante url descarga modelos.

https://ayudaleyprotecciondatos.es/modelos-plantillas/

https://www.aepd.es/guias/index.html