Llevo dos horas mirando por la ventana y pensando sobre qué voy a escribir.

Y ha llegado el repartidor de Seur.

Al firmar la recogida del paquete me ha dado la idea.

Escribiré sobre cómo deben cumplir estas empresas el RGPD.

Las empresas de transporte y logística deben mirar detalladamente qué medidas técnicas y administrativas tienen que incorporar para cumplir el RGPD.

Son muchos los empleados que estarán en contacto con la información personal que maneja la empresa y tienen que conocer muy bien sus funciones y responsabilidades.

En este post encontrarás las obligaciones específicas sobre Protección de Datos para las empresas de transporte.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos son:

  • RGPD (vigente a partir del 25 de mayo en toda Europa)
  • LOPD (España)
  • Nueva LOPD (pendiente de aprobar aún en España)
  • LSSI (regula los servicios de la sociedad de la información y el comercio electrónico)

¿Cómo deben cumplir las empresas de transporte el RGPD?

Las empresas de transportes manejan una gran cantidad de datos de clientes, empleados y proveedores, por lo que también tendrán que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Cada vez que un cliente te facilita sus datos para la adquisición de un billete o la entrega de un paquete, contratas con los profesionales y empresas externas servicios de mantenimiento, o cedes los datos de sus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debes realizar en tu empresa de transportes para adaptarte al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Firmar los contratos con terceros
  3. Firmar los contratos con los empleados
  4. Incluir los textos legales en la página web
  5. Solicitar el consentimiento a los clientes
  6. Realizar un Análisis de riesgos
  7. Notificar las brechas de seguridad

A continuación te explico detalladamente cada una de esas actuaciones.

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos en las empresas de transporte y logistica

1. Registro de actividades de tratamiento

¿Qué es esto?

El RGPD sustituye la obligación de inscribir ficheros en la AEPD por la necesidad de llevar un registro interno en la empresa del tipo de tratamientos que se realizan. Este es el registro de actividades de tratamiento.

En primer lugar debes ser consciente de qué tipo de datos manejas y qué cantidad.

En ese registro debes incluir la siguiente información:

  • Tipo de datos almacenados
  • Motivo del tratamiento
  • Legitimados para tratar esos datos
  • Dónde se almacenan esos datos
  • Si se realizan cesiones o transferencias internacionales
  • Forma en la que se realiza el tratamiento

Este registro de actividades de tratamiento debes mantenerlo siempre actualizado.

¿Qué son los tratamientos?

Es cualquier actuación realizada sobre los datos como su modificación, consulta, utilización, cancelación, bloqueo o supresión.

Los tratamientos más habituales en las empresas de logística son:

  • Clientes
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Curriculum
  • Videovigilancia

2. Terceros

¿Quién son los terceros?

¿Has contratado una gestoría para temas fiscales o laborales?

¿Tienes una empresa informática que te realiza el mantenimiento de los equipos?

Pues esos son terceros. O Encargados de tratamiento.

Y a ellos les cedes datos de tus clientes o de tus empleados.

Debes asegurar que también cumplan la normativa obligatoria. Y asegurarte de que el cliente sepa qué datos suyos se recogen a través de estas páginas.

Es muy frecuente que las empresas de logística cedan datos personales a transportistas autónomos para realizar entregas de paquetes. En este caso, esos autónomos son Encargados de tratamiento y deben cumplir también las obligaciones impuestas por el RGPD.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Por eso estás obligado a firmar un contrato de encargo de tratamiento con esos terceros.

¿Por qué?

Para establecer las obligaciones de estos para proteger los datos personales a los que accedan.

3. Clientes

Además de actualizar la política de privacidad, tu empresa de transporte debe tener el consentimiento expreso de todos tus clientes para poder tratar sus datos.

Este consentimiento puedes solicitarlo de dos formas:

  • Cuando el cliente pone sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • Si los datos son facilitados directamente por el cliente en la empresa de transporte, debe firmar un documento en el que le informes de:
    • responsable del tratamiento,
    • para qué se van a usar los datos,
    • si terceros van a acceder a sus datos y
    • por qué vía puede ejercer sus derechos ARCO.

Con el RGPD los clientes serán mucho más conscientes de qué información disponen las empresas de ellos y para qué la utilizan. Por ello, es esencial que les comuniques cualquier cambio que vayas a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

Asimismo, de acuerdo con el principio de Responsabilidad Proactiva que rige en la nueva normativa, como responsable del tratamiento deberás poder acreditar la obtención del consentimiento de acuerdo con los requisitos expresados anteriormente.

4. Página web

Si tienes una página web, debes incluir los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • Número de inscripción en el Registro mercantil (en caso de empresas)
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro Mercantil o nº de colegiado, si eres autónomo.

¿Dónde lo pongo?

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante que revises la política de privacidad de la empresa de transporte y hagas una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

¿Qué información?

En el texto de Política de privacidad tendrás que informar expresamente de:

  • el tratamiento de los datos que se le están solicitando,
  • finalidad,
  • quién va a acceder a aquella información,
  • legitimación para el tratamiento,
  • plazo de conservación de los datos,
  • identidad y dirección del responsable del tratamiento de los datos y
  • ejercicio de sus derechos ARCO, limitación y portabilidad.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, debes asegurarte de que esta nueva versión se publique en la web.

Política de cookies

Las páginas web de las empresas de transportes o logística, si incluyen cookies, deben informar sobre ello

La ley que regula las cookies es la propia LSSI. En ese texto debes informar sobre las cookies utilizadas en la página, su finalidad y duración.

5. Empleados

Los empleados tienen acceso a toda la información que maneja la empresa de logística y, por tanto, deben firmar un acuerdo de confidencialidad

¿Para qué?

Para evitar que esa información sea revelada a personas no autorizadas.

También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En una empresa de transporte los empleados se comunican entre ellos y con clientes y proveedores a través de correo electrónico normalmente. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y las técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

6. Análisis de riesgos

¡Atención! Vamos al lío.

En tu empresa de transporte debes también realizar un análisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • tipo de datos,
  • naturaleza de los datos,
  • medios de tratamiento,
  • cesiones,
  • transferencias internacionales y
  • número de interesados afectados;

Tras este análisis deberás implementar unas medidas de seguridad adecuadas.

¿Como cuáles?

  • Medidas organizativas: por ejemplo, nombrar un DPD o hacer una evaluación de impacto.
  • Medidas técnicas: seudonimización, el cifrado, los mecanismos para garantizar confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios dedicados al tratamiento, o para restaurar el acceso en caso de incidente y, en cualquier caso, para verificar la eficacia de las mismas.

7. Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa.

¿A quién?

Tanto a los afectados como a la AEPD.

En el caso de que se produzca un ciberataque o infracción de seguridad en tu empresa de transporte tienes un límite de 72 horas para notificarlo a la AEPD y facilitarle toda la información sobre el mismo. Es importante estar prevenidos con un plan de respuesta ante incidentes, y someter ese plan a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Es importante destacar que existirá reducción de la sanción si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir la ley.

Preguntas frecuentes

Con estas cuestiones puedes resolver tus dudas sobre el cumplimiento de la ley de Protección de Datos.

¿Qué pasa si en mi empresa tengo instalado un sistema de videovigilancia?

En ese caso debes de tener un cartel a la vista de todos, en cada uno de los puntos de acceso al recinto, indicando que se tienen cámaras en funcionamiento.

Además debo de tener un documento a disposición del interesado, por si nos lo solicitan, donde debo informar las diferentes finalidades por las que hacemos uso de las cámaras de videovigilancia. Estas podrían ser:

  • Preservar la seguridad de las personas y bienes, así como de las instalaciones.
  • Realizar un control laboral, donde en ese caso también estaríamos obligados a informar a los trabajadores.

La captación de la vía pública (normalmente reservada para las fuerzas y cuerpos de seguridad) puede ser mayor a lo que era permitido antes, siempre y cuando sea para garantizar la seguridad de bienes o instalaciones estratégicas, así como de las infraestructuras vinculadas al transporte de la empresa.

¿Y si las cámaras están en los vehículos?

El asunto plantea dos cuestiones principales, por tanto, desde el punto de vista de la protección de datos de carácter personal y de la protección de la intimidad y la propia imagen. En primer lugar, habría que ver si la instalación de este tipo de cámaras es asimilable a una instalación de videovigilancia y, por tanto, debe cumplir con los requisitos establecidos. Si no se considera una grabación de videovigilancia sino una grabación privada, habría que ver qué podría hacer el usuario con las imágenes captadas.

En todo caso, esas grabaciones deben cumplir los principios de idoneidad, necesidad y proporcionalidad.

¿Es obligatorio hacer un curso de Protección de Datos?

No, no es obligatorio. Pero sí es recomendable formar a los empleados para que cumplan las medidas de seguridad necesarias para proteger los datos personales que manejan.

Las compañías deben concienciar y proporcionar a sus trabajadores todas las herramientas necesarias para que comprendan la importancia de su labor de custodia. Estos operarios deben ser conscientes de que están trabajando con material muy sensible que está legalmente protegido. Por lo tanto, sus empresas deben informarles bien sobre cuáles son sus funciones y responsabilidades y las consecuencias que acarrearía realizar una custodia desleal.

¿Necesito el consentimiento de los empleados para instalar sistemas de geolocalización en los vehículos?

No es necesario su consentimiento, ya que se enmarca dentro de la facultad empresarial de control de la actividad laboral.

No obstante, sí debes informar al trabajador del uso de este sistema, la finalidad y la conservación de esos datos. La instalación de sistemas de geolocalización debe cumplir además el principio de proporcionalidad. Y, por supuesto, no puedes utilizar esta geolocalización fuera del horario de trabajo.

¿Cuánto tiempo puedo conservar los datos de geolocalización?

Los datos relativos a la localización de un empleado solo podrán ser conservados durante el tiempo en el que permanezca la finalidad del tratamiento que ha justificado la geolocalización.

Respecto a los fines que pueden justificar la creación de un dispositivo de geolocalización, una duración de dos meses se considera como adecuada.

Los datos de localización pueden ser conservados por un período superior a dos meses:

  • Por disposición legal
  • Si sirve como prueba de la ejecución de un servicio, cuando no es posible aportar la evidencia por otros medios. En ese caso, la duración de conservación se fija en un año.
  • Con fines de optimización de rutas, por un período máximo de un año.

Modelos

Aquí tienes todos los documentos necesarios para un correcto cumplimiento de la normativa de Protección de Datos en tu empresa de transportes.

Sanciones

El RGPD abre el abanico a la posibilidad de nuevas sanciones después de observar que con la normativa anterior a muchas compañías les compensaba infringir la ley y pagar la sanción si eran pillados en falta, antes que renunciar a la comercialización de los datos. La respuesta ha sido un endurecimiento de las sanciones.

¿A ti te compensa?

Pues evita esas sanciones cuanto antes.

A continuación tienes algunos ejemplos de sanciones impuestas por la AEPD a empresa de transportes y logística.

No facilitar información al cliente

En todos los formularios de recogida de datos personales es obligatorio que informes al usuario sobre quién es el responsable del fichero, para qué van a utilizarse los datos, si van a cederse a terceros y los medios para ejercer los derechos ARCO. Resolución AEPD R/00507/2018

No usar los datos para la finalidad para la que se recogieron

Debes asegurarte de que, tanto los empleados como los terceros que acceden a datos personales de clientes, realicen un uso adecuado de esos datos y no los cedan o los traten para otras finalidades distintas a aquellas para las que se facilitaron. De esta forma evitarás denuncias en caso de que un repartidor utilice los datos personales de un cliente para enviarle mensajes personales.

¿Te ha quedado claro cómo debes cumplir la nueva normativa de Protección de Datos en tu empresa de transportes? Pues empieza cuanto antes.

¿Necesitas cumplir el RGPD?

Empresas de transporte y logística, ¿cómo les afecta el RGPD?
4.7 (93.85%) 13 votos