Reglamento General de Protección de Datos

Fecha de inicio 25 de mayo de 2018. Se cambia de la LOPD a RGPD

Procesos del RGPD

Conocer la normativa
Documentación de consentimiento
Poner un encargado del tratamiento / DPD
Análisis de riesgos
Evaluación del Impacto
Evitar Sanciones

Normativa RGPD

A partir del 25 de mayo de 2018 empieza a aplicarse el nuevo Reglamento General de Protección de Datos.

Aunque parece claro que la anterior LOPD 15/1999 y R.D. 1720/2017 quedan derrogadas. Además, la instrucción 1/2006 sobre sistemas de video vigilancia y la Directiva 95/46 del Parlamento Europeo, también.

A partir de esta fecha, se atiende el Reglamento Europeo 2016/679 llamado RGPD y una normativa nacional que, a fecha de este texto, aún está en tramitación.perito-quien-cumple-norma-rgpd

La finalidad del nuevo reglamento es: Proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de datos.

¿Quién está obligado a cumplir el RGPD?

Igual que con la norma actual: Quien realice los tratamientos de datos de carácter personal de forma automatizada o en papel.

Ejemplo: un llistado con nombre y apellido en papel ya sería objeto de cumplimiento.

Es decir:

  • Organismos públicos
  • Entidades privadas
  • Autónomos
  • Comunidades de vecinos
  • Club deportivos
  • Asociaciones
  • Cualquier otro que use datos de terceros.

Los particulares, aunque guarden datos (agendas, datos de amigos, recetas, etc…), no tienen que cumplir esta normativa.

¿Qué clase de empresa no tiene que cumplir el reglamento de protección de datos? Por ejemplo, aquel profesional que no tenga trabajadores, no mande publicidad, atienda a sus clientes sin darle factura (aquellas que dé tickets como una frutería), no tenga videovigilancia…

Si tiene comercio electrónico, cámaras de vídeo, manda publicidad, hace factura u otros, si tendría que cumplirla.

Esta norma es aplicable a Europa. Y si los datos tuvieran que salir fuera de Europa, habría que pedir autorización. Por eso es muy importante saber dónde están nuestros servidores en el caso de hacer marketing online, copias de seguridad o servidores virtuales. En el caso concreto de las copias de seguridad, es necesario comprobar que, si la empresa de alojamiento está fuera de la UE, habrá que comprobar qué uso se le dan a esos datos.

No olvidar que el RGDP  está destinado a: Confidencialidad, Disponibilidad e Integridad

Consentimiento e Información

El nuevo RGPD tiene un objetivo claro sobre la información que se tiene de terceros y de cómo se informa del tratamiento:

  • Vamos a intentar minimizar los datos. Si tengo que emitir una factura, sólo necesitaré los datos mínimos, no tendría que pedir fecha de nacimiento por ejemplo.
  • Se tienen que tener los datos exactos y actualizados. Si descubrimos datos no actualizados, hay que ponerlos al día o eliminarlos.
  • Debemos dejar claro el límite de la finalidad por la que voy a conservar esos datos.  A la hora de informar al cliente, deberemos saber para qué se han recogido sus datos.
  • A la hora de recoger los datos, hay que hacerlo de forma lícita, leal y transparente con el interesado.
  • Hay que limitar el plazo de conservación de los datos. No hay que guardarlo de por vida o que tengamos el consentimiento del ciudadano. En el caso de las facturas, cuando acabe el tiempo de guardado en años, debemos borrarlas o destruirlas
  • Los datos deben ser tratados con Integridad y Confidencialidad

Cómo obtener los datos

Hay dos formas siempre:

  • Del propio interesado: Tenemos la obligación de informar o pedir el consentimiento en el momento en el que se obtienen los datos.
  • De un tercero: Se debe informar al interesado en un plazo máximo de un mes o en la primera comunicación que haya con el intereasdo. Si le vamos a ceder los datos que ya tenemos a otro destinatario, deberemos comunicar esta acción al interesado.

¿Porqué se piden los datos?

  • Porque exista una relación contractual, por ejemplo, un mantenimiento informático.
  • Una obligación legal para el responsable, por ejemplo los datos necesarios para hacer una factura.
  • Que existan intereses vitales para el interesado o de otras personas. Este caso es atípico, pero un ejemplo es aquella persona que llega al centro médico con un infarto. Primero se atenderá a esta persona y luego se firmará el contrato.
  • Intereses públicos o ejercicios de poderes públicos, para entidades públicas, que son además, de obigado cumplimiento y la designación de un DPD.
  • Que existan Intereses legítimos prevalentes del responsable o de terceros a los que se comunican datos
  • El propio consentimiento. Este es el típico en el envío de publicidad.

Los más típicos son los de relación contractual, los de obligación legal y los consentimientos. En este último caso, no tengo un contrato con el interesado, no tengo una obligación legal, pero necesito un consentimiento para enviarte mi información.

¿Cómo informar?

Cómo hago para cumplir con el deber de informar:

  • Formulario en papel o digital (ya no se puede dejar por defecto las casillas de aceptación)
  • Por teléfono a través de la operadora
  • En el registro de una aplicación
  • Siempre en el momento de recolectar los datos

A los antiguos de los que tengo ya los datos:

  • Si ya existe una relación contractual o una obligación legal y no necesitamos consentimiento, se puede hacer como sea, ya sea por email, correo postal, etc. Sólo informarles.
  • Pero si el tratamiento se basa en un consentimiento y no puedo demostrar que lo tengo, hay que conseguir el consentimiento. Si mandamos publicidad y no tengo el consentimiento expreso o actualizado, debería parar y conseguirlo para actualizar los datos.

¿De qué se informa?

Hasta la fecha del cambio de LOPD a RGPD, se estaba informando sobre:

  • Existencia de fichero, finalidad y destinatario de cesión de datos.
  • Carácter obligatorio o no de respuesta
  • Derechos ARCO
  • Identificar al responsable.

Han habido muchos casos en donde se hacía una factura por un servicio y se daba de forma implícita el alta en el fichero. Ahora no sería válido ya que la comunicación ha de ser previa y explícita. Debería firmar un documento el cliente y no valdría la factura.

Ahora hay que informar de muchas otras cosas:

La información la vamos a dividir en dos tiempos: uno primero, a la vista y una segunda más ampliada. La primera debe ser una cláusula sencilla y clara; y una segunda, en la que informas de todo tal como dice el reglamento. Por ejemplo, poner las condiciones sencillas en el documento y detrás del mismo, todo el texto «la información completa la podrá consultar en la web, por correo, etc….». Hay que darle toda la información de manera fácil y gratuíta. Los datos que se informan son:

  • Responsable.
    • Persona que tiene acceso a los datos. Identificar la empresa que hace la recolección de datos. CIF, etc.
    • «…los datos de contacto son…», «El representante de DPD es…»
  • Finalidad:
    • Qué voy a hacer con sus datos: sus datos serán usados para la facturación y servicio.
    • Informar del plazo de conservación de los datos (hasta que retire el consentimiento, hasta seis años como las facturas…)
    • Si se va a elaborar perfiles, hay que informar. Esto es que si voy a usar los datos que esa persona nos dé para elaborar un perfil para venderle cosas, debemos decir que lo vamos a hacer: esa es la finalidad.
  • Legitimación
    • Es una relación que tenemos con el cliente.
    • Detallar la base jurídica dela relación contractual, obligación legal o consentimiento. También informar la obligació o no de dar los datos y la consecuencia de no darlos. «… a parte de enviarle la factura, le vamos a enviar publicidad hasta que el usuario retire su consentimiento»
  • Destinatarios
    • Si hay cesión de datos  «…sus datos no serán cedidos…«. Esto no es aplicable en el caso de ser requeridos por la Policía, a la hora de hacer el modelo 347, etc.
    • A quién voy a dar tus datos o a qué tipo de empresa voy a ceder tus datos
  • Derechos
    • El usuario tiene derecho de acceso, modificación, etc. Tendrá una referencia al texto completo.
    • Si quiere pedir los datos o retirar el consentimiento, cómo hay que hacerlo (teléfono, email…)
  • Procedencia
    • En el caso de que los datos vienen de un tercero y no del interesado directamente. «…los datos han sido obtenido desde…»
    • Qué datos estoy manejando de los que me han dado.
  • Duración
    • Cuánto tiempo vamos a tener los datos personales si no ejerce sus derechos de oposición alguno.

rgpd-comparacion-lopd¿Como hacer un consentimiento para la RGPD?

Siempre que hay datos de clientes hay que informar. Y de qué hay que informar:

Si estamos basando el tratamiento en consentimiento, debe hacerse de forma inequívoca. Es decir, el cliente tiene que manifestar claramente su voluntad. Se prohibe el uso de la casilla marcada por defecto.

proteccion-datos-sevilla-rgpd

Debe existir una aceptación positiva expresa. Hasta el cambio de la ley, se permitía una cláusula donde se decía que los datos usados en la facturación servían también para el envío de actividades de publicidad y marketing.

Esto es válido hasta el día 25 de mayo de 2018. A partir de entonces, se dice que el usuario debe haber aceptado claramente.

¿Me autorizas a que te mande publicidad? SI o NO

El consentimiento debe ser explícito siempre:

  • Tratamiento de datos sensibles
  • Adopción de decisiones automatizadas
  • Transferencias internacionales de datos

En resumen, hay que informar a todos los clientes si tenemos una relación contractual o legal; en el caso de los clientes con consentimiento, tiene que existir una casilla positiva.

Todas las páginas webs con formularios premarcados en SI, estarían incumpliendo la norma.

Derechos

En la LOPD (antes de la entrada en vigor del nuevo reglamento RGPD), tenemos los «derechos ARCO»: Acceso, Rectificación, Cancelación y Oposición.

  • Acceso: Permite al ciudadano solicitar información que se tiene sobre él y sus comunicaciones sisponibles.
  • Rectificación y Cancelación: Para cambiar los datos inexactos, antiguos o excesivos. O bien, para la eliminación de los datos
  • Oposición: Le indica al responsable del fichero que se deje de trabajar con sus datos (porque se usen sin consentimiento,porque son con fines distintos a los de la recolección, etc.)

Con el nuevo reglamento, se introducen dos:

  • Acceso: Qué tienen del cliente
  • Rectificación: Derecho a que se actualicen los datos
  • Cancelación: Pasa a Olvido: No sólo se borran de los ficheros físicos, sino también de las publicaciones online.
  • Limitación del tratamiento: Si se están usando los datos de una persona y ésta pone una reclamación, mientras se resuelve la misma, los datos quedan bloqueados.
  • Portabilidad: Es la petición de la información que tienen de una persona por parte de una empresa y que deben entregarlos de forma estructurada para que puedan ser importados en otra empresa de forma sencilla. Estamos hablando de datos personales.
  • Oposición: Derecho para que nuestros datos no se usen para otro servicio diferente al que lo dimos o al que tenemos contratado. Por ejemplo, cuando se usan los datos de la factura para enviar publicidad.

El plazo de respuesta para estas peticiones es de 1 mes en la mayoría de los casos. Hay que hacerlo por escrito y con acuse de recibo. La respuesta puede ser positiva o negativa, es decir, puede ser que no tengamos datos de esa persona. Aún así, hay que responder.

Puedes seguir leyendo o llamarnos

Sevilla: 954309240

Encargado de Tratamiento

Un encargado de tratamiento son las empresas externas que nos prestan un servicio y que necesitan el tratamiento de la información de las bases de datos. Por ejemplo, la asesoría laboral, que necesita acceso a los datos de los trabajadores para hacer las nóminas.

Con el nuevo reglamento tenemos que tener cuidado de que el «Encargado de Tratamiento» cumple con el Reglamento nuevo de Protección de datos, por lo que tendré que pedirle que cumpla con todos estos datos. Se puede hacer con un contrato o con un certificado.

Sólo se podrán contratar encargados que garanticen el cumplimiento del RGPD. Para los que ya estemos trabajando, habrá que actualizar los contratos. Estos contratos deberan llevar estos datos:

  • Objeto, duración, naturaleza y finalidad del tratamiento de datos. (Contrato y servicio)
  • Tipo de datos personales y categorías (NIF, dirección…; trabajadores)
  • Obligación del encargado de tratar los datos personales sólo con las instrucciones documentadas por el responsable (el servicio sólo es para una cosa (Sólo puede usarlo para lo que se ha indicado)
  • Condiciones para que el responsable pueda dar su autorización previa, específica o general a subcontratas. (P.e. La asesoría que tiene la empresa y que, a su vez, firma la parte de nóminas con otra empresa subcontratada) Todo contrato que se firme debe «autorizar» a que se puedan subcontratar. Y que es obligación del encargado de tratamiento, tener firmado RGPD con esa subcontrata. El contrato primitivo nuestro estaría cubierto. La responsabilidad es de contratante.
  • Asistencia al responsable en la atención al ejercicio de derecho de los interesados. En el ejemplo de la gestoría que tenemos contratada, un trabajador que ya no está en la empresa y que nos pide el acceso a sus datos. La gestoría también tiene que darle lo que tenga de él.
  • Obligación de cumplir con las medidas de seguridad RGPD.
  • Obligación de comunicar al responsable, las brechas de seguridad en el Encargado del Tratamiento.

Análisis de Riesgos

Es la Responsabilidad activa. Condiciona la toma de medidas de seguridad al riesgo que el tratamiento de datos pueda suponer para los derechos y libertades de los interesados. El fin es garantizar la confidencialidad, disponibilidad e integridad de la información y los sistemas que tratan la misma.

Antes de la RGPD, se trababan medidas de seguridad en función de los ficheros y el nivel de los mismos; pero con la RGPD, no se indican qué medidas hay que tomar, sólo dice que se tomen las que sean, la información tiene que estar disponibles, íntegras y confidenciales.

Para ver qué riesgo tenemos, hacemos una tabla:

rgpd-sevilla-analisis-riesgo

  • Ningun Riesto: cero
  • Hasta 5: Riesgo Aceptable. Asumo el riesgo.
  • Hasta 10: Riesgo Tolerable. Proteger o mitigar el riesgo. También puedo compartir o transferir el activo.
  • Hasta 20: Riesgo Moderado. Prevenir el riesgo, proteger, mitigar, compartir o transferir.
  • Hasta 40: Riesgo Importante. Prevenir el riesgo, proteger, mitigar, compartir o transferir
  • Hasta 60: Riesgo Inaceptable. Evitar el riesgo, proteger, mitigar, compartir o transferir

Lo primero que tenemos que hacer es identificar los activos (todo aquello que interviene en la protección de datos). En una empresa, la información suele estar en un servidor es un activo. Pero nuestros trabajadores, también son un activo, porque pueden robar información.

Ahora identificamos los riesgos. En el caso del servidor, puede ocurrir que entre un troyano, que se estropee el disco duro, que sea objeto de un robo; en el caso de los trabajadores, pueden conectar un pendrive y robar información.

Tenemos también las medidas de seguridad, por ejemplo, que tenemos copia de seguridad. Eso minimiza el impacto.

RIESGO = PROBABILIDAD X IMPACTO

Ejemplo: En la oficina tenemos todos los datos de los trabajadores y clientes en un armario. Probabilidad de que roben o se pierdan papeles, puede ser alta. El impacto económico sería medio. Sería un riesgo moderado, por lo que podemos poner una llave en el armario o cambiarlo de sitio. También puedo sacar la información de la empresa.

Este es un tipo de metodología, no es el único y no se exige ninguno. Sólo hace falta un análisis de riesgo propio, realista y funcional.

Evaluación del impacto

Se hace en aquellas empresas que manejan a gran escala datos o que supongan un alto riesgo apra los derechos y libertadas para las personas. También se usa en la elaboración de perfiles y observación a gran escala de una zona de acceso público.

Brechas de Seguridad

Si ocurre un problema de seguridad, hay que comunicar en 72 horas desde su conocimiento a la AEPD

En caso de haber un encargado de tratamiento, deberá notificar las brechas al responsable.

Hay que notificar (por ejemplo, un robo)

  • Qué ha pasado (han robado un servidor)
  • Con qué tipo de datos ha ocurrido (datos de acceso, personales de trabajadores, copias de seguridad…)
  • Número de registros afectados (los que estuvieran de forma aproximada)
  • Persona de contacto de la empresa o DPD si existe
  • Consecuencias (mala utilización, acceso indebido…)
  • Notificar al interesado sólo si supone un alto riesgo la brecha de seguridad para los derechos y libertades (alto riesgo por ejemplo, historiales clínicos). No habrá que informar en caso de estar los datos encriptados.

Delegado de Protección de Datos

delegado-proteccion-datos-sevilla

No es obligatorio, excepto para:

  • Organismos públicos
  • Empresas que manejan datos a gran escala
  • Sectores
    • Colegios profesionales
    • Sector médico
    • Centros docentes
    • Entidades aseguradoras
    • Publicidad y prospección comercial.

Puede ser una persona dentro de la empresa o una empresa o persona externa. Es necesario hacer público en las cláusulas informativas y comunicarlo a ala AEPD.

Es una figura de intermediación interdepartamental que debe relacionarse con toda la dirección de la empresa ya que debe conocer todo el funcionamiento y estructura de la misma para que pueda desarrollar su actividad de la manera más eficiente y poder llevar a cabo toda la investigación para que la dirección pueda tomar sus medidas de seguridad. Entra mucho en la intervención del departamento de informática y de los departamentos que usan y graban datos, como los comerciales y los de marketing.

Registro de Actividades

Se sustituye el uso de ficheros por el Registro de Actividades, que, al igual que la inscripción de ficheros, debe contener:

  • Nombre y datos de contacto del responsable y del DPD
  • Finalidad del tratamiento de datos
  • Descripción de categorías de interesados y categoría de datos personales tratados

Este registro de actividades no será obligatorio para empresas de menos de 250 empleados excepto que el tratamiento que realicen tenga un riesgo para los derechos y libertades de los intereados, no sea ocasional o invluya categorías especiales de datos o relativos a condenas e infracciones legales. La estructura será como la de los ficheros de la LOPD.

El registro de actividades es sencillo y mejora el resultado del análisis de riesgos.

VideoVigilancia

La finalidad es preservar la seguridad de las personas y bienes, así como de las instalaciones. Es obligación informar a los trabajadores si se va a ejercer control laboral. Si no se informa a un trabajador y se usa un vídeo en un proceso judicial, este vídeo será válido, pero podrá generar una denuncia posterior a través de la AEPD.

En cuanto a la grabación de la vía pública, sólo puede grabarse por las Fuerzas de Seguridad. Las empresas podían grabar muy poco terreno cerca de la entrada. Ahora se podrá grabar más si es para garantizar la seguridad estratégica de la emprea o de la logística de la misma.

Menores de Edad

Se rebaja la edad de 14 años a 13 años, tal como es en el resto de Europa. La inforamción deben ser claros para que sean comprensibles por el menor.

Personas Fallecidas

Sólo derechos de acceso y rectificación/supresión mediante los representantes legales , albacea o designado.

Sanciones

sanciones-rgpd-sevilla

Según la AEPD se han presentado más de 10.000 denuncias con más de 17 millones de euros en sanciones debido a que hay un alto número de empresas y autónomos que no cumplen la normativa.

Una denuncia es anónima y la puede hacer cualquier ciudadano. Las sanciones se han elevado.

Lo más destacado en RGDP

La RGPD, antes la LOPD no era cumplida por la mayoría de las empresas y ahora se intensifica. Cuál es el objetivo de la norma con relación al tráfico de información actual por Internet:

  1. Poner freno al tráfico de datos
  2. Informar de qué se va a hacer con tus datos. Evitar hacer de todo
  3. Ya no hay ficheros, hay que ser consciente de los datos que se tienen y aplicar las medidas necesarias por parte del empresario. El reglamento da potestad a la empresa para auto evaluarse.

Ahora hay Inteligencia Artificial, Big Data… La RGPD va mucho más lejos:

El teléfono en el bolsillo está contínuamente conectándose a redes. Las redes detectan la MAC de un móvil que va paseando por la calle, la acera, etc. Como lo tienes identificado, puedes saber la velocidad, la ruta, a dónde vas…

Normalmente se puede hacer por uno mismo en autónomos, pequeñas empresas y medianas (a menos que tratemos datos de política, tendencias sexuales, etc.)

Se hace un análisis de riesgo y pensamos por empezar por lo más básico e imprescindible en todas las empresas:

  • Es necesario el https
  • Es necesario el cifrado de archivos
  • Es necesario un antivirus
  • Externalizar copias de seguridad en lugares que cumplan la norma.
  • Evitar el robo o fuga de datos
  • En las entradas de formulario quien soy, porque me entregas los datos, finalidad, tiempo, etc.

Y ahora implantamos las medidas y ponemos la frase («finalidad, posibilidad de se denunciado, cuánto tiempo tenerlo») El texto lo encontramos de ejemplo en AEPD.

¿Ejemplo de datos personal? Si soy una empresa, qué se considera dato personal.

  1. Nombre = carácter personal (El señor daniel ha llamado)
  2. Tipo de hoja de árbol = no es personal
  3. Nombre de contacto para una empresa (con la antigua LOPD no había que cumplirla; ahora hay que cumplirla porque los datos de contacto de empresas, listados de periodistas, colaboradores, etc si se consideran datos personales). Se pueden hacer dos cosas: primero, por el artículo legítimo puedo coger el dato para contratar su servicio, no es para mandar publicidad. Para los clientes, primero decirle cuál es la finalidad y luego enviarlo. Un ejemplo es dar la tarjeta de visita y meterlo en la base de datos. En ese caso, el dar la tarjeta es un dato legítimo. En el caso de un boletín de noticias, para conseguir el correo donde enviar la publicidad, hay que informar de quién recibe los datos del gestor del boletín de noticias. Si este boletín fuera de un particular, en vez de una empresa o autónomo, no debería cumplir, pero si está destinado a un tipo de contenido profesional, en función de su tipo de seguidores o de la cantidad de ellos, debería cumplirlo.

Si el consentimiento se ha conseguido de forma tácita (no se ha opuesto en 30 días) debe consentirse de nuevo.

En la RGPD hay artículos y considerandos, por ejemplo el 171 que dice que si la forma de consentirlo en la RGPD es la misma ahora que en la LOPD, no hay que volver a pedirlo. Si ya era consentimiento explícito antes, vale para ahora también.

Una empresa que trabaja con datos personales, qué medidas tiene que cumplir

  • Fisicas (poner un candado, un firewall, sistemas para que no entren en la empresa)
  • Organizativas (marketing no podrá ver datos de trabajadores, pero el departamento que hace las nominas, si)
  • Lógicas (informáticas – antivirus – contraseñas – copias – accesos)
  • Formación (si se encuentran un pendrive no pueden meterlo en el PC. Hay que documentar que se ha formado al personal y lo tiene que firmar el empresario y las personas formadas. Si es online, debe acreditarse el test con un certificado y firmado físico. Seguridad en los datos y Ciberseguridad.
  1. El documento de seguridad SIGUE existiendo.
  2. El contrato de tratamiento debe firmarse: tengo clientes y necesito enviarle correos. Tú tienes la plataforma de envío. Hay que tener dos contrato uno de prestación y otro de encargado de tratamiento (no vender datos, borrarlos al finalizar) y obligas a implementar las medidas de seguridad que tú tienes que cumplir. Si guardo mis ficheros en dropbox, éste tiene que implantar mis sistemas de seguridad. El modelo está en la AGPD.

¿Se pueden recuperar datos de RRSS que deja la gente de forma pública?

Si, se pueden extraer previo consentimiento del usuario.  En ciertos casos se puede utilizar el interés legítimo. Tú eres un deudor y necesito tus datos. Pues yo puedo usando el interés legítimo para localizar mis datos y enviarte al cobrador del frac.

Preguntas típicas Sobre RGPD

Tratamiento con Sensores

Te voy a vender micros y otros sensores para que todo funcione. Todo puede recibir datos de carácter personal como el calor corporal, humedad, etc. Esos datos están cubiertos, pero deben estar protegidos. Si no cumplo las medidas de seguridad, alguien puede manipular los datos y se estaría infringuiendo la RGPD.

Qué pasa con los datos de los CV

¿Cúanto tiempo hay que mantener los CVs desde que los ha recibido para seleccionar al adecuado? Si queremos mantenerlos durante un año, hay que borrarlos del sistema. Son personas que nos han pedido trabajo y no se lo hemos dado, Debemos borrarlo. Si lo queremos para finalidad histórica hay que borra el nombre, dni… es decir, los datos personales.

Borrado de datos en copias de seguridad

Si yo tengo una base de datos y le hago copias de seguridad junto con otra información de la que almaceno datos. ¿Qué pasa si llega un usuario y quiere que borremos los datos de él y los que tengamos de él en las copias?. Tenemos que aplicar el bloqueo que es que nadie va a tener acceso a ese dato. No se suprime por la imposibilidad técnica porque es casi imposible montar todas las copias, acceder a ese dato y volver a hacer la copia. Es decir, tengo que aplicar un documento para decir que ha pedido el borrado, que no se va a usar y que nunca se use.

Cookies

El fin es saber qué van a hacer con nuestros datos. Si nos hacen una pregunta por el formulario, el cliente puede seleccionar si quiere sólo que le respondan o bien que le sigan mandando documentación.

La ley de cookies debe informar al usuario sobre qué se va a hacer con su navegación y ahora aceptarlo expresamente.

Si LOPD utilizaba las cookies para creación de contraseañas, uso de perfiles, etc. Ahora, además, debe aceptarlas todas. Ahora el usuario debería seleccionar de forma única por cada una, aunque no está implantado Más adelante, los navegadores podrán bloquear cookies en función de su uso.

Encriptación y evitar el dato robado

Si los datos son robados, no deben ser visualizados fuera de la empresa. Deben estar encriptados. Los programas de encriptación son económicos para equipos básicos y las suites son asequibles para empresas medianas.

Las multas son hasta de 20mm eur o 4% del negocio global, eligiéndose la más alta. La multa se paga a la AEPD a través de la adminsitración pública.

  • Si has sufrido una brecha de seguridad, tienes 72 horas para notificar a la AEPD y la agencia te puede derivar a comunicar el hecho a los afectados para decirles que han sido sus datos robados.
  • Si me han borrado las bases de datos y no puedo enviar el aviso (me han robado o encriptado con un ramsonware la base de datos y no tengo acceso a mis propios datos), me tengo que ir a un medio público y grande, por ejemplo google o fb y comunicarlo. Si son personas mayores, por ejemplo, debería ir al mundo del periódico, que es más accesible a este tipo de público.
  • Y además, hay que pagar una indemnización a los afectados por la brecha de seguridad.

¿Una floristería debería tener cifrado? si un ciberdelincuente accede a la base de datos y no ve nada útil y se va. Esa entrada del ciberdelincuente no obliga a dar el aviso a la AEPD. Las suites de Sophos o Eset son fáciles y también valen para activarlo en un Pendrive y llevarlo encriptado.

Formar a los empleados

Atención con los empleados que se llevan los datos a casa. La responsabilidad es del empresario y es quien paga la multa. Que un empleado te robe os datos es la propia empresa que ha fallado en su deber de vigilar y formar.

Cuando la empresa haya pagado, hará denuncia en contra del empleado. El empleado no tendrá tando dinero para pagar a la empresa. Hay que mitigar ese riesgo.

Caso de Detectives o Peritos

Los agobados tienen autoridad legal para investigar o contratar a un investigador. Se puede buscar en las redes y buscar datos de otros porque está contratado para este fin. Cualquier otra persona con esta capacidad, puede repetir su derecho con el subcontratado mediante un contrato.

Es típico en este tipo de investigación usar las ventanas de incógnito: en google chrome, se puede abrir una ventana de navegación de incógnico que no lleva las cookies de acceso en redes sociales y así voy a dejar lo que se deja que google muestre al exterior.

Delegado de Protección de Datos: DPO / DPD

Qué empresas tienen que tenerlo: Aún no hay norma para inscribir al DPD en la AEPD. Pero en el documento interno, si hay que tenerlo.

¿Quién tiene que tenerlo? Administración pública, empresa que usen muchos datos (elaboración perfiles o envios y prospección comercial), y aquellas empresas que tengan datos especiales (politica, sexual, biometricos) o datos de denuncias o penales. Por ejemplo, una panadería no necesita un DPO.

Datos en la nube

Yo tengo que securizar los datos en local. Si lo almaceno en la nube, tiene que estar en un sitio que cumpla y que tenga los servidores en paises aprobados en escudo CEE. Si no, tengo que firmar un contrato de tratamiento para no tenir que pedir autorización a la AEPD.

Exigir a esa empresa las mismas medidas de seguridad que implementa en local, quién tiene acceso donde están los datos.

En el artículo 37 de la RGDP explica cómo elegir el DPO, conocimientos específicos en derechos, práctica en protección de datos; y en el artículo 39, habla de las funciones del delegado de protección de datos, que debe estar alerta pendiente, vigilar entre los departamentos que se cumpla la normativa, formación activa y contínua, evaluación, tratamiento, etc. Habrá dos tipos de DPO: con prácita y con título.

  • Autónomos: ellos mismo formarse y preguntar a la AEPD que tiene quía gratuítas.
  • Medias empresas (<50) equipo interno o externo. Lo mejor e xternalizar el servicio
  • Grandes empresas Generar equipo para protección de datos y mantenimiento informático más el Compliance Digital. Y un respaldo externa para respuesta rápidas a preguntas complejas

Cambios de la LOPD a la RGPD

Contexto Normativo

Historia

  • Constitución
  • Diretiva 95/46/CE
  • Ley Orgánica 15/1999 LOPD
  • Real Decreto 1720/2007
  • Ley 34/2002 de Servicios de la Sociedad de la Información LSSICE
  • RGPD UE2016/679
  • Anteproyecto de la nueva LOPD en trámite durante este artículo

Tratamiento de los ficheros

En la LOPD se trataban ficheros de nivel

  • Básico (nombre, DNI, …)
  • Nivel Medio (económicos)
  • Nivel Alto (salud, razón política o sexual)

En la RGPD

  • No establece niveles de datos
  • No especifica medidas particulares a nivel técnico
  • Se siguen considerando los datos sensible
  • Se añaden conceptos nuevos (biometría, genética…)
  • No hay que mandar ficheros a partir del 25/05/2018
  • Sustituye el Fichero AEPD por el Registro de Actividades de Tratamiento

Ejemplo de ficheros

Aunque ya no hay que notificar a la AEPD los ficheros, si que lo tenemos que llevar a nivel interno:

En la LOPD los ficheros tipo eran:

  • Words, Excel, Bases de datos
  • Clientes
  • Proveedores
  • Trabajadores
  • Video Vigilancia
  • Clientes potenciales
  • Usuarios Web
  • Etc.

En la RGPD, los datos tenemos que gestionarlos internamente con el «Registro de Actividades de Tratamiento»:

  • Tratamiento
  • Finalidad
  • Categoría
  • Destinatario
  • Tiempo de Supresión
  • Etc.

Documento de Seguridad

Con la LOPD teníamos un documento de seguridad que contenía:

  • Estructura de ficheros
  • Escenario informático
  • Usuarios poráreas y accesos
  • Inventario de dispositivos
  • Protocolos de incidencias

Con el RGPD, se puede englobal todo dentro del Registro de Actividades

Compromisos de Confidencialidad

En la LOPD se firma el compromiso de confidencialidad

  • Informa al trabajador que uso sus datos, por ejemplo, para hacer la nómina
  • El trabajador se compromete a no hacer mal uso de los datos
  • El ejemplo de un mal uso es no informar a un trabajador que se puede monitorizar su ordenador
  • Debe hacerse un manual de uso.

En el RGPD:

  • Se amplia el contenido del contrato con encargados de tratamiento
  • Descripción detallada de servicios prestados por terceros:
    • Medidas aplicadas
    • Posibles transferencias internacionales
    • Subcontrataciones
  • Ojo con los proveedores como transporte, limpieza, hosting, informática, gestoría, etc.

Cláusulas Legales

En la LOPD, se incluía cláusulas y avisos legales en:

  • Facturas
  • Presupuestos
  • Contratos
  • Impresos
  • Correos electrónicos
  • Uso de imágenes
  • Recogida de datos
  • Cartes de video vigilancia
  • Derechos ARCO
  • Avisos legales Web

En el RGPD

  • Se amplia el detalle de la información que se proporciona al afectado: base jurídica para el tratamiento, destinatarios, derechos de los afectados, reclamaciones… Se pueden usar iconos y enlaces web.
  • Se plantea incluir esta información por capas: Capa básica de nivel de recogida básico y un nivel ampliado, que se amplíe la información.

Área Fiscal

Te ayudamos a gestionar tus obligaciones fiscales ante la Administración.

Individualidad

Le ayudamos en la gestión de su empresa acorde a sus necesidades.

Experiencia

Nuestros profesionales le ofrecen la respuesta más eficaz para su caso.

Miramos por usted

Si nuestros clientes crecen, nosotros crecemos con ellos.

Sobre nosotros

Somos un grupo de profesionales con una consolidada experiencia en el sector, con una cualificación que le da un valor agregado a los servicios que ofrecemos.
0

Casos Resueltos

0

Transportes Exitosos

0

Clientes satisfechos

0

Clientes atendidos

¿Qué opinan nuestros clientes?

Asesoría: Área de asuntos fiscales.

Autoliquidaciones trimestrales/mensuales y tramitación de impuestos

Asesoría: Fiscalidad Autónomos.

Tramitación de impuestos, I.R.P.F. e I.V.A. y libros oficiales.

Asesoría: Fiscalidad Contabilidad Empresas.

Impuesto de sociedades, cuentas anuales y llevanza de la contabilidad.

Asesoría: Área de Gestión Laboral.

Recursos humanos, tramitación, nóminas, seguros sociales.

Asesoría: Área de Servicios Jurídicos.

Cobertura jurídica para la empresa. Especialistas en Derecho Mercantil.

Asesoría: Formación y Nuevas Tecnologías.

Formación en recursos para organizar administrativamente su trabajo

Asesoría: Organismos Locales y Autonómicos.

Licencias de apertura, tasas, ayudas y subvenciones.

Asesoría: Seguros.

Seguros de comercio, responsabilidad civil y colectivo de accidentes.

Asesoría: Administración de fincas.

Gestión integral de comunidades de edificios.