La respuesta a la pregunta de si las empresas de telecomunicaciones cumplen el RGPD sería no mucho. O mejor, no del todo.

Uno de los sectores más controlados en el tema de Protección de Datos es el de telecomunicaciones. Y también el más denunciado. La cosa se complica aún más con la entrada en vigor del nuevo Reglamento de Protección de Datos.

Por ello, me he decidido a escribir este post donde explicar los pasos necesarios para adaptar una empresa de telecomunicaciones a la ley de Protección de Datos.

Regulación sobre Protección de Datos

El sector de las telecomunicaciones debe, al igual que el resto de sectores, a proteger los datos personales que maneja. Por tanto, está sujeto a las normas que lo regulan y que son:

¿Cómo afecta el RGPD a las operadoras de telecomunicaciones?

Los operadores de telecomunicaciones necesitan el consentimiento expreso de los clientes para poder tratar sus datos personales.

Con el RGPD los usuarios tendrán nuevos derechos sobre sus datos personales en relación a cuatro aspectos principales. Esto se traduce en:

  • las empresas deberán tener consentimiento explícito del cliente para procesar los datos que recojan,
  • estarán obligadas a proporcionar a los usuarios una copia de los datos personales recopilados,
  • los términos de las condiciones deberán ser sencillos de comprender y
  • se incluirá el propósito con el que se tratarán los datos de los usuarios.

Por tanto, los pasos principales que deben seguirse para cumplir la ley de Protección de Datos son:

  1. Realizar un Registro de actividades de tratamiento
  2. Realizar un Análisis de riesgos
  3. Elaborar una Evaluación de impacto
  4. Solicitar el consentimiento a los clientes
  5. Firmar los contratos con Encargados del tratamiento
  6. Incluir los textos legales en la página web
  7. Firmar los contratos con los empleados
  8. Notificar las brechas de seguridad
  9. Nombrar un Delegado de Protección de Datos
  10. Facilitar copia de los datos personales
  11. Derechos de los usuarios

Te explico cada paso.

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos en las empresas de telecomunicaciones

1. Registro de actividades de tratamiento

Lo primero que debe tenerse en cuenta es qué tipo de datos se manejan y qué cantidad. La empresa de telecomunicaciones debe elaborar un documento interno en el que se establezca:

  • Tipo de datos que tratan
  • Interesados
  • Legitimación para el tratamiento
  • Finalidad
  • Cesión y transferencias internacionales
  • Almacenamiento

Este es el registro de actividades de tratamiento que debe mantenerse actualizado. Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.

2. Análisis de riesgos

En tu empresa de telecomunicaciones debes también realizar análisis del riesgo en el que se valoren los posibles riesgos de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones:

  • el tipo de tratamiento,
  • la naturaleza de los datos,
  • el número de interesados afectados,
  • la realización de cesiones a terceros o transferencias internacionales, o
  • los medios a través de los que se realiza el tratamiento.

En base a los riesgos detectados, debes establecer medidas para evitar o atenuar dichos riesgos.

3. Evaluación de impacto

Aquí viene lo complicado. No pierdas detalle

Si el riesgo resultara ser especialmente alto debes realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertados de los interesados; tras estos análisis debes implementar unas medidas de seguridad adecuadas.

¿Que qué es esta evaluación de impacto?

Es un informe en el que se detallarán los riesgos que pueden afectar a los datos personales que manejas y se indicarán los controles y garantías adecuados para proteger dichos datos.

En el caso de las empresas de telecomunicaciones, es obligatoria la realización de esta evaluación de impacto según el RGPD, ya que manejan datos a gran escala. Y también realizan perfiles de usuarios en base a su comportamiento con fines comerciales.

4. Consentimiento de los usuarios

En primer lugar debes decidir si el consentimiento es necesario o ese tratamiento de datos puede tener otra base legitimadora como, por ejemplo, el cumplimiento de una obligación legal. Si después de efectuar este análisis deduces que el consentimiento es necesario, debes solicitarlo a través de un medio claro y sencillo que permita al usuario decir “SÍ” o realizar una acción afirmativa similar.

Y, en todo caso, el consentimiento debe prestarse libremente.

La manera en que las empresas de telecomunicaciones solicitan ese nuevo consentimiento es:

  • Aviso al entrar en el área del cliente, ya sea a través de la web o desde la app que los operadores hayan habilitado para la autogestión del servicio contratado.
  • Teléfono de atención al cliente: al llamar a ese número nos solicitarán de nuevo nuestro consentimiento.

5. Contratos con Encargados de tratamiento

No me digas que no cedes datos a terceros porque no me lo creo.

¿Tienes contratada la gestión de clientes con empresas de CRM?

¿Y empresas que realizan servicios de venta o márketing?

Entonces sí cedes datos a terceros.

Así que, además de tener un registro de actividades de tratamiento, debes tener presente una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa de Protección de Datos. Por ejemplo:

  • Empresas de CRM
  • Asesorías
  • Entidades de servicios informáticos
  • Empresas de ventas y márketing
  • Empresas de instalaciones, etc.

Y qué decir tiene que tienes que estar seguro de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.

Para ello debes firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

6. Página web

Si ofreces los servicios de asesoramiento a través de una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debe incluirse:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro Mercantil

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante que revises la política de privacidad de la empresa de telecomunicaciones y hagas una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Entre las opciones de privacidad que podrás personalizar para ajustarlas a tus preferencias en función de los permisos que desees aceptar, encontraremos las siguientes:

  • Permiso para acceder a la localización.
  • Autorización para tratar datos de facturación, tráfico y navegación. Estos datos pueden utilizarse por la empresa para conocer mejor nuestros hábitos y recomendar tarifas o servicios.
  • Consentimiento para que puedan enviarnos comunicaciones comerciales relevantes procedentes de terceras empresas con las que el operador tenga un acuerdo previo. Así pueden disponer servicios como ventajas por ser cliente con descuentos en otros servicios.
  • Permiso para ceder datos anónimos que sean utilizados por terceras entidades para confeccionar estadísticas de big data, ayudando por ejemplo, a definir dónde hacen falta nuevas carreteras.
  • Autorización para que las líneas telefónicas aparezcan en guías de abonados.
Configurar la política de privacidad en Orange

Los pasos para configurar nuestras opciones de privacidad en Orange son:

  • Entrar en el menú principal, dentro de “Mi contrato”,
  • pulsar en “Revisión de Privacidad” y
  • aprobar o rehusar cada opción ofrecida.
Gestionar privacidad en Vodafone

En el caso de Vodafone, los pasos que se establecen son:

  • Entrar en el menú principal,
  • pulsar en “Datos personales” y
  • después en “Permisos y preferencias”. Aquí debemos prestar atención a las casillas de aceptación.

Otras operadoras, como Movistar o Yoigo, no tienen de momento la opción de gestionarlo online.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

7. Contratos con empleados

Tus empleados tienen acceso a toda la información que manejas en la compañía de telecomunicaciones y, por tanto, debes firmar con ellos un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También están obligados a cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En una operadora de telecomunicaciones existen gran cantidad de departamentos que tienen acceso a un correo electrónico, que se comunican entre ellos internamente, y también que tienen comunicaciones con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

8. Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción en la empresa de telecomunicaciones, lo ideal es estar prevenidos con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

9. Nombrar un Delegado de Protección de datos

Supongo que has oído hablar de esta nueva figura.

¿Sabes si lo vas a necesitar? Aquí te lo explico.

La empresa de telecomunicaciones debe designar a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD).

Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.

Las operadoras de telecomunicaciones son unas de las empresas obligadas a nombrar un Delegado de Protección de Datos ya que, su actividad principal consiste en la realización de tratamientos que, por naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.

10. Obligación de facilitar copia de los datos personales

Los operadores tendrán que proporcionar a los usuarios una copia gratuita de los datos personales recopilados en formato electrónico si así se solicita. Actualmente los operadores no disponen de una herramienta online que lo permita.

Estas empresas nos remiten a realizar una solicitud mediante correo ordinario con destino a una dirección postal o a través de correo electrónico.

11. Nuevos derechos de los usuarios

Además de los ya existentes derechos ARCO (acceso, rectificación, cancelación y oposición), el RGPD introduce dos nuevos derechos:

Olvido

Este nuevo derecho podría definirse como el derecho que tiene el titular de un dato personal a borrar, bloquear o suprimir esa información personal que:

  • afecte el libre desarrollo de alguno de sus derechos fundamentales, como el derecho a la intimidad, al honor y a la propia imagen, o
  • considerada como información obsoleta. No tiene sentido que pueda accederse a ella después de mucho tiempo puesto que ya no sirve para la finalidad para la que fue recabada y publicada.

Portabilidad

Muy importante y que debes tener muy en cuenta.

Este derecho supone para los interesados la posibilidad de transmitir sus datos personales a otra entidad, empresa, organización, proveedor de servicio, directamente desde otra entidad, siempre que técnicamente sea posible.

Permite que los usuarios puedan trasladarse de un proveedor de servicios a otro. Y no necesitan pedir sus datos y después entregarlos al nuevo operador. Con ello se agilizan los trámites ya que son menos, el usuario simplemente debe solicitar la portabilidad.

Las operadoras tienen gran cantidad de datos de sus usuarios:

  • datos de nuestras llamadas,
  • usos que hacemos del móvil,
  • lo que gastamos al mes,
  • el consumo de datos habitual,
  • información sobre nuestros gastos bancarios,
  • el consumo de energía,
  • nuestra cesta de la compra,
  • nuestra lista de reproducción musical,
  • nuestros historial médico,
  • nuestros contactos en cuentas de correo electrónico…

Se trata de datos que generamos en nuestra relación o actividad con las compañías y que podría ser susceptibles de traslado a otra empresa. En realidad, ya tenemos acceso a mucha de esta información. Otra cosa es la posibilidad de solicitar a la entidad que tiene la información que la transmita a otra organización. Ello sin implicar necesariamente la supresión de los datos personales conservados en la entidad transmisora.

Preguntas frecuentes

A continuación las preguntas más planteadas por las empresas de telecomunicaciones.

¿Puedo incluir datos de clientes en una lista de morosos?

Únicamente puede realizarse la inscripción en el fichero de impagados cuando se den los siguientes requisitos:

  • Se trate de una deuda verdadera, vencida y exigible, que no haya sido cobrada.
  • Requerimiento previo de pago.
  • No podrán incluirse datos sobre los que exista un principio de prueba documental que contradiga alguno de los requisitos anteriores.
  • Debe hacerse un aviso al interesado por cada deuda concreta.
  • Los datos que se incluyan deben tener menos de seis años de antigüedad.

El titular de los datos puede ejercitar el derecho a cancelarlos o rectificarlos solicitándolo directamente al operador. En caso de no tener respuesta en el plazo de 10 días o si esa respuesta no es satisfactoria, puede reclamar ante la Agencia Española de Protección de Datos acreditando la presentación de la solicitud.

Existe obligación de rectificar o cancelar, en su caso, los datos personales cuyo tratamiento no sea conforme a lo establecido en la LOPD y, en particular, cuando tales datos sean inexactos o incompletos.

Las infracciones que puedan cometerse en la gestión de esos registros se sancionan por la AEPD.

¿Pueden cederse a otras empresas los datos que aparecen en las guías telefónicas?

En caso de que una persona decida no aparecer en las guías telefónicas, sus datos personales no se facilitarán. Solo si se piden por empresas de servicios de emergencias. Las empresas que vayan a prestar servicio de información telefónica de números de abonado o que elaboren guías telefónicas, tienen derecho a disponer de esa información.

La legislación vigente en materia de protección de datos reconoce una serie de derechos como son el derecho de acceso, rectificación y cancelación de datos personales. En caso de no estar de acuerdo con la cesión de esos datos, puede ejercer cualquiera de estos derechos. Para ello debe dirigirse al propietario del fichero por cualquier método con el que sea posible justificar el envío y la recepción de esa petición. Junto con una copia del DNI e indicando el fichero que se desea consultar. Si en el plazo de un mes el responsable del fichero no ha contestado puede dirigir la solicitud a la AEPD con copia de la petición y la respuesta del responsable, si la hubiera.

¿Es legal recibir publicidad por teléfono, por correo electrónico o en el móvil?

En este caso, debemos distinguir dos supuestos:

  • Las llamadas o mensajes automáticos, es decir, en los que no existe la intervención física de una persona, requieren consentimiento previo por parte del abonado para que se realicen.
  • Las llamadas realizas por una persona son legales salvo que el abonado haya expresado su deseo de no recibirlas. En caso de que ese abonado haya solicitado no aparecer en la guía telefónica, sí puede dar su consentimiento para recibir este tipo de llamadas.

El interesado puede también ejercer su derecho a cancelar o rectificar sus datos solicitándolo directamente al operador. Si en el plazo de 10 días no recibe contestación o ésta no es satisfactoria, puede reclamar ante la AEPD acreditando la presentación de la solicitud.

En cuanto a los correos electrónicos, existe una práctica muy extendida denominada ‘Spam’ que comprende todo tipo de comunicación no solicitada realizada por vía electrónica. La LSSI solamente autoriza el envío de comunicaciones comerciales con el consentimiento previo del receptor o si ha habido un contrato previo entre la empresa y el abonado.

¿Durante cuánto tiempo puede mi operador mantener los datos de las llamadas y los de facturación?

Esos datos deben cancelarse o hacerse anónimos cuando ya no sean necesarios. Únicamente podrán tratarse durante el plazo en que sea posible reclamar la factura o exigirse el pago. Dicha información deberá constar en el contrato de abono al servicio.

¿Necesitan las operadoras de telecomunicaciones un DPD?

Sí lo necesitan, según el anteproyecto de LOPD. En esta ley se indican los tipos de empresas que deben contratar un DPD obligatoriamente. Y entre ellas están las entidades que exploten redes y presten servicios de comunicaciones electrónicas. Por tanto, las compañías telefónicas y los proveedores de acceso a Internet deben nombrar un Delegado de Protección de Datos.

¿Pueden ceder las compañías teleoperadoras datos de carácter personal de sus clientes a compañías de servicios de información que se encuentren en otros países?

Sí pueden hacerlo. Pero debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de los términos en que lo hace. En este caso, la solicitud de consentimiento debe presentarse de tal forma que se distinga de forma clara de los demás asuntos, inteligible y de fácil acceso siempre utilizando un lenguaje claro y sencillo.

¿Qué permite el ejercicio del derecho a la portabilidad de datos?

En primer lugar, es un derecho a recibir datos personales tratados por un responsable de tratamiento, y para almacenarlos para su uso personal adicional en un dispositivo privado, sin transferirlo a otro responsable.
En segundo lugar, este derecho también ofrece a los interesados ​​la posibilidad de transmitir su información personal de un responsable de tratamiento a otro “sin obstáculos”. Facilita su capacidad para mover, copiar o transferir datos personales fácilmente desde un entorno de TI a otro.

¿Cómo informar a los interesados ​​sobre este nuevo derecho de portabilidad?

Debe informarse a los interesados ​​sobre la existencia del derecho a la portabilidad de datos de forma concisa, transparente, inteligible y fácilmente evaluable, usando un lenguaje claro. Les explicarán claramente la diferencia entre los tipos de datos pueden recibir utilizando el derecho de portabilidad o el derecho de acceso así como los datos personales que son relevantes para la prestación de sus servicios.

¿Cómo puedo responder a las solicitudes de portabilidad de datos?

En primer lugar, los responsables del tratamiento deberían ofrecer una oportunidad de descarga directa para el interesado y, en segundo lugar, deberían permitir que los interesados transmitan directamente los datos a otro responsable.

El RGPD prohíbe que el responsable del tratamiento cobre una tarifa por el suministro de los datos, a menos que pueda demostrar que las solicitudes son manifiestamente infundadas o excesivas.

Modelos

Aquí tienes las plantillas necesarias para cumplir la normativa de Protección de Datos en tu empresa.

Sanciones

¿Sabes qué te puede pasar si no cumples el RGPD?

No es ninguna broma así que atento!

Con el RGPD se disparan los importes de las sanciones para los casos más graves de vulneración de la normativa de tratamiento de datos. En España, por ejemplo, se pasa se pasa de multas máximas de 600.000 euros a 20 millones o al 4% de la facturación global anual de las compañías que resulten sancionadas.

Las sanciones se interpondrán teniendo en cuenta:

  • naturaleza, gravedad y duración de la infracción,
  • número de interesados afectados,
  • nivel de los daños y perjuicios que hayan sufrido,
  • intencionalidad o negligencia en la infracción, y
  • medidas tomadas por el infractor para paliar los daños y perjuicios ocasionados.

Asimismo, se evaluarán las medidas técnicas y organizativas previamente establecidas y los antecedentes de la empresa que haya incumplido, e incluso se valorará positivamente que el propio infractor ponga los hechos en conocimiento de la Agencia.

Las operadoras de telecomunicaciones son las más sancionadas por temas de Protección de Datos. Aquí tienes algunos ejemplos de sanciones impuestas por la AEPD.

Inclusión en ficheros de morosos

A la hora de incluir a un cliente en un fichero de impagos es necesario cumplir con los requisitos exigidos por la normativa, es decir, que sea una deuda cierta, vencida y exigible, que hayan transcurrido menos de 6 años desde que debió abonarse y que exista un requerimiento previo de pago. Resolución AEPD R/01315/2018

No facilitar a los clientes el ejercicio de sus derechos

Es obligatorio facilitar a los clientes el ejercicio de sus derechos ARCO, limitación y portabilidad. En caso de recibir una solicitud de cancelación de datos debes cancelar esos datos y responder en un plazo de 10 días hábiles. No será posible cancelar esos datos personales cuando deban ser conservados durante los plazos indicados en las normas aplicables o, en su caso, en la relación contractual entre el responsable del tratamiento y el interesado que permiten el tratamiento de los datos. Resolución AEPD R/01097/2018

¿Te ha quedado más claro cómo deben adaptarse las empresas de telecomunicaciones al RGPD? ¿Quieres evitar sanciones por usos indebidos? Espero tus comentarios.

¿Necesitas cumplir el RGPD?

Protección de datos para empresas de telecomunicaciones
4.8 (96%) 10 votos