Ayuda Ley Protección Datos

Protección de datos para empresas de telecomunicaciones

Si hay un sector especialmente vigilado y controlado en materia de protección de datos desde que están vigentes la LOPDGDD y el RGPD, son las empresas de telecomunicaciones (no en vano, son también las que más denuncias suelen acumular). En esta entrada vamos a explicar los pasos necesarios para las políticas de una empresa de telecomunicaciones en materia de privacidad y protección de datos, para asegurar que cumple con la normativa vigente.

Regulación sobre Protección de Datos

Cualquier empresa de telecomunicaciones tiene, como en cualquier otro sector, la obligación de proteger los datos personales que maneja, de manera que está sujeta a las leyes y reglamentos que lo regulan y que encontramos en los siguientes textos:

¿Y quién regula que las empresas de telecomunicaciones cumplan con estas normativas? En España la principal autoridad es la Agencia Española de Protección de Datos (AEPD).

¿Cómo afecta el RGPD a las operadoras de telecomunicaciones?

Los operadores de telecomunicaciones necesitan el consentimiento expreso de los clientes para poder tratar sus datos personales.

Cualquier empresa de telecomunicaciones tiene una base de datos personales recopilados de sus clientes, por lo que es no solo deben cumplir con la ley de protección de datos a empresas, sino también adaptarse al RGPD, que reconoce los derechos que sobre sus datos personales tienen los usuarios en cuatro aspectos principales:

Por tanto, los pasos principales que deben seguirse para cumplir la ley de Protección de Datos son:

  1. Realizar un Registro de actividades de tratamiento
  2. Realizar un Análisis de riesgos
  3. Elaborar una Evaluación de impacto
  4. Solicitar el consentimiento a los clientes
  5. Firmar los contratos con Encargados del tratamiento
  6. Incluir los textos legales en la página web
  7. Firmar los contratos con los empleados
  8. Notificar las brechas de seguridad
  9. Nombrar un Delegado de Protección de Datos
  10. Facilitar copia de los datos personales
  11. Derechos de los usuarios

Te explico cada paso.

1. Registro de actividades de tratamiento

Las empresas de telecomunicaciones deben tener en cuenta qué tipo de datos manejan y en qué cantidad, para con ello elaborar un documento interno en el que se establezca:

Este documento es el registro de actividades de tratamiento, que puede recogerse tanto por escrito como por medios electrónicos, y que siempre debe estar actualizado, puesto que en caso de inspección de la AEPD, puede ser solicitado.

2. Análisis de riesgos

Una de las utilidades que tiene el registro de actividades de tratamiento, es que puede dar pistas a las empresas de telecomunicaciones sobre los posibles riesgos que pueden encontrarse a la hora de proteger los datos personales de sus usuarios. Puesto que el siguiente paso es realizar un análisis de esos riesgos, teniendo en cuenta entre otras cuestiones:

En base a los riesgos que se detecten, se deben establecer medidas para evitar a o atenuar dichos riesgos.

3. Evaluación de impacto

A veces el análisis de riesgos es solo un primer paso, puesto que si detectan riesgos potencialmente altos, se debe realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados. Una vez hecho esto, se deben implementar las medidas de seguridad adecuadas para prevenir o reducir el impacto de dichos riesgos.

La evaluación de impacto es un informe en el que se detallarán los riesgos que pueden afectar a los datos personales que manejas y se indicarán los controles y garantías adecuados para proteger dichos datos.

En el caso de las empresas de telecomunicaciones, es obligatoria la realización de esta evaluación de impacto según el RGPD, ya que manejan datos a gran escala. Y también realizan perfiles de usuarios en base a su comportamiento con fines comerciales.

4. Consentimiento de los usuarios

En primer lugar debes decidir si el consentimiento es necesario o ese tratamiento de datos puede tener otra base legitimadora como, por ejemplo, el cumplimiento de una obligación legal. Si después de efectuar este análisis deduces que el consentimiento es necesario, debes solicitarlo a través de un medio claro y sencillo que permita al usuario decir «SÍ» o realizar una acción afirmativa similar.

Y, en todo caso, el consentimiento debe prestarse libremente.

La manera en que las empresas de telecomunicaciones solicitan ese consentimiento es:

5. Contratos con Encargados de tratamiento

Toda empresa cede datos personales de sus clientes o usuarios en mayor o menor medida. En el caso de una empresa de telecomunicaciones, por ejemplo, cuanto esta tiene contratada la gestión de clientes con empresas de CRM o los servicios de venta o marketing con otra empresa.

Por ello, es necesario tener una lista de esas empresas externas con las que se tiene contacto y asegurar que ellas también cumplen con la normativa de protección de datos. Además, es evidente que se debe asegurar de que el cliente o usuario esté al corriente de qué datos suyos pueden estar circulando entre empresas.

Para esto se debe firmar un contrato de encargo de tratamiento con aquellos terceros, en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

.

Recuerda firmar el contrato de encargo de tratamiento con los terceros

6. Página web

Si ofreces los servicios de asesoramiento a través de una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debe incluirse:

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante que revises la política de privacidad de la empresa de telecomunicaciones y hagas una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Entre las opciones de privacidad que podrás personalizar para ajustarlas a tus preferencias en función de los permisos que desees aceptar, encontraremos las siguientes:

Configurar la política de privacidad en Orange

Los pasos para configurar nuestras opciones de privacidad en Orange son:

Gestionar privacidad en Vodafone

En el caso de Vodafone, los pasos que se establecen son:

Otras operadoras, como Movistar o Yoigo, no tienen de momento la opción de gestionarlo online.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

7. Contratos con empleados

Los empleados de una empresa de telecomunicaciones pueden tener acceso a diferentes tipos de datos personales de los clientes, por lo que debe firmarse entre ellos y la empresa un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. Además, también están obligados, como parte de la protección legal de una empresa, a cumplir con las medidas de seguridad que esta haya establecido para garantizar la protección de los datos personales.

Tampoco hay que olvidar el riesgo que existe para las empresas de telecomunicaciones de que sus empleados puedan ser víctimas de un ciberataque, pudiendo quedar los datos de sus clientes expuestos ante terceros con intenciones fraudulentas. Implementar medidas de seguridad para prevenir y evitar estos riesgos también es obligación de la empresa.

8. Notificar brechas de seguridad

¿Qué pasa cuándo hay una brecha de seguridad? El RGPD establece la obligación de informar de ello inmediatamente, tanto a los afectados como a la AEPD, para lo que se tiene un límite de 72 horas.

Para poder actuar rápido y dar una respuesta pronta, lo ideal es contar con un protocolo de actuación en caso de brecha de seguridad; dicho protocolo o plan de actuación debe probarse para comprobar que se toman todas las medidas adecuadas y se informa de ello en el tiempo necesario.

No tener implementadas las medidas adecuadas para evitar o prevenir estos ataques que puedan exponer los datos de los clientes puede considerarse una infracción grave. Aunque si se demuestra que ha hecho todo lo posible para cumplir con la ley, se podrán aplicar atenuantes en caso de sanciones.

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

9. Nombrar un Delegado de Protección de datos

La empresa de telecomunicaciones debe designar a un profesional experto en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD).

Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.

Las operadoras de telecomunicaciones son unas de las empresas obligadas a nombrar un Delegado de Protección de Datos ya que, su actividad principal consiste en la realización de tratamientos que, por naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.

10. Obligación de facilitar copia de los datos personales

Los operadores tendrán que proporcionar a los usuarios una copia gratuita de los datos personales recopilados en formato electrónico si así se solicita. Actualmente los operadores no disponen de una herramienta online que lo permita.

Estas empresas nos remiten a realizar una solicitud mediante correo ordinario con destino a una dirección postal o a través de correo electrónico.

11. Nuevos derechos de los usuarios

Además de los ya existentes derechos ARCO (acceso, rectificación, cancelación y oposición), el RGPD introdujo dos nuevos derechos más

Olvido

Este nuevo derecho podría definirse como el derecho que tiene el titular de un dato personal a borrar, bloquear o suprimir esa información personal que:

Portabilidad

Muy importante y que debes tener muy en cuenta.

Este derecho supone para los interesados la posibilidad de transmitir sus datos personales a otra entidad, empresa, organización, proveedor de servicio, directamente desde otra entidad, siempre que técnicamente sea posible.

Permite que los usuarios puedan trasladarse de un proveedor de servicios a otro. Y no necesitan pedir sus datos y después entregarlos al nuevo operador. Con ello se agilizan los trámites ya que son menos, el usuario simplemente debe solicitar la portabilidad.

Las operadoras tienen gran cantidad de datos de sus usuarios:

Se trata de datos que generamos en nuestra relación o actividad con las compañías y que podría ser susceptibles de traslado a otra empresa. En realidad, ya tenemos acceso a mucha de esta información. Otra cosa es la posibilidad de solicitar a la entidad que tiene la información que la transmita a otra organización. Ello sin implicar necesariamente la supresión de los datos personales conservados en la entidad transmisora.

Preguntas frecuentes

A continuación las preguntas más planteadas por las empresas de telecomunicaciones.

¿Puedo incluir datos de clientes en una lista de morosos?

Únicamente puede realizarse la inscripción en el fichero de impagados cuando se den los siguientes requisitos:

El titular de los datos puede ejercitar el derecho a cancelarlos o rectificarlos solicitándolo directamente al operador. En caso de no tener respuesta en el plazo de 10 días o si esa respuesta no es satisfactoria, puede reclamar ante la Agencia Española de Protección de Datos acreditando la presentación de la solicitud.

Existe obligación de rectificar o cancelar, en su caso, los datos personales cuyo tratamiento no sea conforme a lo establecido en la LOPD y, en particular, cuando tales datos sean inexactos o incompletos.

Las infracciones que puedan cometerse en la gestión de esos registros se sancionan por la AEPD.

¿Pueden cederse a otras empresas los datos que aparecen en las guías telefónicas?

En caso de que una persona decida no aparecer en las guías telefónicas, sus datos personales no se facilitarán. Solo si se piden por empresas de servicios de emergencias. Las empresas que vayan a prestar servicio de información telefónica de números de abonado o que elaboren guías telefónicas, tienen derecho a disponer de esa información.

La legislación vigente en materia de protección de datos reconoce una serie de derechos como son el derecho de acceso, rectificación y cancelación de datos personales. En caso de no estar de acuerdo con la cesión de esos datos, puede ejercer cualquiera de estos derechos. Para ello debe dirigirse al propietario del fichero por cualquier método con el que sea posible justificar el envío y la recepción de esa petición. Junto con una copia del DNI e indicando el fichero que se desea consultar. Si en el plazo de un mes el responsable del fichero no ha contestado puede dirigir la solicitud a la AEPD con copia de la petición y la respuesta del responsable, si la hubiera.

¿Es legal recibir publicidad por teléfono, por correo electrónico o en el móvil?

En este caso, debemos distinguir dos supuestos:

El interesado puede también ejercer su derecho a cancelar o rectificar sus datos solicitándolo directamente al operador. Si en el plazo de 10 días no recibe contestación o ésta no es satisfactoria, puede reclamar ante la AEPD acreditando la presentación de la solicitud.

En cuanto a los correos electrónicos, existe una práctica muy extendida denominada ‘Spam’ que comprende todo tipo de comunicación no solicitada realizada por vía electrónica. La LSSI solamente autoriza el envío de comunicaciones comerciales con el consentimiento previo del receptor o si ha habido un contrato previo entre la empresa y el abonado.

¿Durante cuánto tiempo puede mi operador mantener los datos de las llamadas y los de facturación?

Esos datos deben cancelarse o hacerse anónimos cuando ya no sean necesarios. Únicamente podrán tratarse durante el plazo en que sea posible reclamar la factura o exigirse el pago. Dicha información deberá constar en el contrato de abono al servicio.

¿Necesitan las operadoras de telecomunicaciones un DPD?

Sí lo necesitan, según el anteproyecto de LOPD. En esta ley se indican los tipos de empresas que deben contratar un DPD obligatoriamente. Y entre ellas están las entidades que exploten redes y presten servicios de comunicaciones electrónicas. Por tanto, las compañías telefónicas y los proveedores de acceso a Internet deben nombrar un Delegado de Protección de Datos.

¿Pueden ceder las compañías teleoperadoras datos de carácter personal de sus clientes a compañías de servicios de información que se encuentren en otros países?

Sí pueden hacerlo. Pero debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de los términos en que lo hace. En este caso, la solicitud de consentimiento debe presentarse de tal forma que se distinga de forma clara de los demás asuntos, inteligible y de fácil acceso siempre utilizando un lenguaje claro y sencillo.

¿Qué permite el ejercicio del derecho a la portabilidad de datos?

En primer lugar, es un derecho a recibir datos personales tratados por un responsable de tratamiento, y para almacenarlos para su uso personal adicional en un dispositivo privado, sin transferirlo a otro responsable.
En segundo lugar, este derecho también ofrece a los interesados ​​la posibilidad de transmitir su información personal de un responsable de tratamiento a otro «sin obstáculos». Facilita su capacidad para mover, copiar o transferir datos personales fácilmente desde un entorno de TI a otro.

¿Cómo informar a los interesados ​​sobre este nuevo derecho de portabilidad?

Debe informarse a los interesados ​​sobre la existencia del derecho a la portabilidad de datos de forma concisa, transparente, inteligible y fácilmente evaluable, usando un lenguaje claro. Les explicarán claramente la diferencia entre los tipos de datos pueden recibir utilizando el derecho de portabilidad o el derecho de acceso así como los datos personales que son relevantes para la prestación de sus servicios.

¿Cómo puedo responder a las solicitudes de portabilidad de datos?

En primer lugar, los responsables del tratamiento deberían ofrecer una oportunidad de descarga directa para el interesado y, en segundo lugar, deberían permitir que los interesados transmitan directamente los datos a otro responsable.

El RGPD prohíbe que el responsable del tratamiento cobre una tarifa por el suministro de los datos, a menos que pueda demostrar que las solicitudes son manifiestamente infundadas o excesivas.

Modelos

A continuación tenéis las plantillas de los documentos necesarios para que cualquier empresa de telecomunicaciones cumpla con la Ley de Protección de Datos.

Sanciones

Con el RGPD se disparan los importes de las sanciones para los casos más graves de vulneración de la normativa de tratamiento de datos. En España, por ejemplo, se pasa se pasa de multas máximas de 600.000 euros a 20 millones o al 4% de la facturación global anual de las compañías que resulten sancionadas.

Las sanciones se interpondrán teniendo en cuenta:

Asimismo, se evaluarán las medidas técnicas y organizativas previamente establecidas y los antecedentes de la empresa que haya incumplido, e incluso se valorará positivamente que el propio infractor ponga los hechos en conocimiento de la Agencia.

Las operadoras de telecomunicaciones son las más sancionadas por temas de Protección de Datos. Aquí tienes algunos ejemplos de sanciones impuestas por la AEPD.

Inclusión en ficheros de morosos

A la hora de incluir a un cliente en un fichero de impagos es necesario cumplir con los requisitos exigidos por la normativa, es decir, que sea una deuda cierta, vencida y exigible, que hayan transcurrido menos de 6 años desde que debió abonarse y que exista un requerimiento previo de pago. Resolución AEPD R/01315/2018

No facilitar a los clientes el ejercicio de sus derechos

Es obligatorio facilitar a los clientes el ejercicio de sus derechos ARCO, limitación y portabilidad. En caso de recibir una solicitud de cancelación de datos debes cancelar esos datos y responder en un plazo de 10 días hábiles. No será posible cancelar esos datos personales cuando deban ser conservados durante los plazos indicados en las normas aplicables o, en su caso, en la relación contractual entre el responsable del tratamiento y el interesado que permiten el tratamiento de los datos. Resolución AEPD R/01097/2018

¿Te ha quedado más claro cómo deben adaptarse las empresas de telecomunicaciones al RGPD? ¿Quieres evitar sanciones por usos indebidos? Espero tus comentarios.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos