La actividad de los detectives privados conlleva, irremediablemente, el tratamiento de datos personales, no solo del particular que los contrata, sino también de la persona u organización objeto de su investigación.
Y, por su actividad, se tratan esos datos sin el consentimiento del afectado. Por eso necesitan adaptarse al RGPD. En esta entrada vamos a explicar paso a paso cómo pueden cumplir con la Ley de Protección de datos los detectives privados.
Normativa de Protección de de Datos que afecta a los detectives privados
Tanto si se trata de un detective privado como de un despacho de detectives privados, están obligados a cumplir con la normativa actual de protección de datos, cuya regulación está recogida en las siguientes leyes:
- RGPD (Reglamento General de Protección de Datos)
- LOPD (Ley Orgánica de Protección de Datos)
- LSSI (Ley de servicios de la sociedad de la información y de comercio electrónico)
- Ley de Seguridad Privada, 5/2014, de 4 de abril.
¿Cómo deben cumplir los detectives el RGPD?
Cuando una agencia de detectives privados o un profesional independiente son contratados por un cliente, no solo estarán accediendo a los datos personales de este, sino que es posible que también lo hagan sobre la persona objeto de la investigación. Por ello, como deben cumplir las obligaciones de protección de datos para empresas y llevar un correcto manejo de los datos de carácter personal, sobre todo si acaban accediendo a datos de categorías especiales.
Para cumplir con la Ley de Protección de Datos en España los detectives privados deben llevar a cabo estas actuaciones principales:
- Realizar un Registro de actividades de tratamiento
- Elaborar un análisis de riesgos
- Realizar una Evaluación de impacto
- Firmar los contratos con terceros
- Incluir los textos legales en la página web
- Solicitar el consentimiento a los clientes
- Facilitar los derechos de los usuarios
- Firmar los contratos con los empleados
- Nombrar un DPD
Vamos a ver cada una de estas actuaciones por separado, para explicar sus aspectos más importantes.
1. Crear un registro de actividades de tratamiento
Toda empresa que maneje datos personales debe saber qué tipos de datos maneja y en qué cantidad lo hace, para ello se realiza un registro de actividades de tratamiento, en el que se «responden» a cuestiones como:
- Tipo de datos que recopilas
- Finalidad del tratamiento
- Política de almacenamiento de esos datos
- Si cedes esos datos o los transfieres fuera de nuestro país
- Medios de tratamiento
El registro de actividades de tratamiento se podré elaborar tanto por escrito en papel o recopilarlo en formato electrónico. Además, es importante mantenerlo actualizado siempre, puesto que es el documento que con toda seguridad la Agencia Española de Protección de Datos (AEPD) va a solicitar en caso de una inspección.
2. Análisis de riesgos
Realizar el tratamiento de datos personales puede entrañar riesgos que deben analizarse para poder establecer las medidas de seguridad necesarias y así evitar problemas futuros, como pérdida o robo de los mismos.
Para realizar el análisis de riesgos, los investigadores privados deben tener en cuenta, entre otras, estos puntos:
- el tipo de tratamiento:
- ¿dónde se almacenan los datos?
- ¿durante cuánto tiempo?
- ¿en un fichero o en una base de datos?
- ¿en qué equipos?
- la naturaleza de los datos,
- identificativos
- financieros
- penales
- de salud ….
- el número de interesados afectados;
- 1.000
- 5.000
- 50.000 …
3. Evaluación de impacto
Si existe un riesgo especialmente alto derivado del tipo de datos que tratas como detective privado, que pueda afectar o perjudicar a los derechos o libertades de los interesados, tendrás que realizar una evolución de impacto que, como en el punto anterior, debería llevar a implementar las medidas de seguridad necesarias para evitar problemas, infracciones (voluntarias o no) y sanciones.
Dado que los detectives realizan un tratamiento de categorías especiales de datos ya que manejan datos financieros y de crédito, impuestos, rentas, e incluso datos de salud de los investigados. Por eso estás obligado a hacer esa Evaluación de impacto.
4. Contratos con terceros
¿Qué ocurre si tú como detective privado o tu agencia de detectives privados trabajan con empresas o profesionales externos?
En el caso de que esas empresas o profesionales externos puedan tener acceso a datos personales de tus clientes o empleados (como puede ser un colaborador externo, una empresa de mantenimiento informático, una gestoría que se ocupe de las nóminas de tus empleados, etc.), tendrás que hacer una lista de las mismas y, además, firmar un contrato de encargo de tratamiento.
Este contrato, que sirve para acordar las responsabilidades en cuento a protección de datos de las partes, te servirá para asegurarte de que esas terceras partes cumplen debidamente con la LOPD y que llevarán a cabo un trato debido de los datos a los que puedan acceder.
También será necesario que informes a tus clientes y empleados sobre los terceros que pueden tener acceso a sus datos y con qué fines.
Recuerda firmar el contrato de encargo de tratamiento con los terceros
5. Página web
Si un despacho de detectives privados o un profesional independiente cuentan con una página web en la que ofrezcan sus servicios, para cumplir con la ley actual, deben incluir en ella los textos exigidos por ella y la LSSI:
- Aviso legal
- Política de privacidad
- Política de cookies
Aviso legal
Este es el documento donde se identifica al propietario de la página web. En él debes incluir:
- Nombre del propietario
- CIF / NIF
- Dirección
Debes poner un enlace visible a este texto desde cualquier página de la web.
Política de privacidad
Es importante revisar la política de privacidad de la web y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.
- ¿Dónde se utilizan esos datos?
- ¿Se está haciendo con el consentimiento de los usuarios?
- ¿Tiene fines comerciales?
- ¿Se realizan cesiones a terceros o transferencias internacionales?
Así, al solicitar los datos personales del cliente, en el formulario tendrás que informar expresamente de:
- existencia de un tratamiento de los datos que se le están solicitando,
- finalidad,
- destinatario o destinatarios de aquella información,
- identidad y dirección del responsable del tratamiento de los datos y
- posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.
Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, debes asegurarte de que esta nueva versión se publique en la web.
Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.
Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.
La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.
6. Consentimiento de los clientes de detectives privados
Con la entrada en vigor del RGPD, todas las empresas y negocios, incluidos los detectives privados, tienen la obligación de contar con el consentimiento expreso de sus clientes para poder tratar sus datos. Este consentimiento debe ser informado y se puede obtener a través de dos formas:
En la web
Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
En la oficina
En caso de que el cliente facilite sus datos personalmente en la oficina, debe firmar un documento en el que se le informe sobre:
- responsable del tratamiento,
- finalidad para la que se van a usar los datos,
- si se van a ceder a terceros y
- el medio por el que puede ejercer sus derechos ARCO.
Este consentimiento expreso persigue como objetivo que los ciudadanos estén mejor informados respecto a los fines para los que son recavados sus datos personales y quiénes tendrán acceso a los mismos más allá de la entidad que los esté recogiendo.
7. Derechos de los usuarios
La normativa vigente en protección de datos dice que los usuarios (interesados) podrán, en cualquier momento, ejercer una serie de derechos respecto a los datos personales que hayan cedido a terceros. Estos derechos son:
- acceso a los propios datos personales;
- rectificación si los datos son inexactos;
- supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
- limitación del tratamiento;
- portabilidad de los datos;
- oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
- a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
Tanto si eres un detective privado autónomo como si tienes una agencia, debes habilitar los medios necesarios para que tus clientes puedan ejercer estos derechos cuando así lo deseen. Además, estos medios deben quedar especificados de manera clara en el documento de consentimiento y en la política de privacidad de la web.
8. Contratos con empleados
Si hay empleados contratados y estos pueden tener acceso a datos personales de clientes o de otros empleados, es necesario que firmen un acuerdo de confidencialidad o que existan en sus contratos laborales cláusulas de confidencialidad. De esta manera nos podemos asegurar de que no filtrarán información o datos sensibles a personas no autorizadas.
Aparte, también deben estar informados sobre las medidas de seguridad implementadas en materia de protección de datos y los riesgos a los que pueden estar expuestos, especialmente aquellos relacionados con los ciberataques, puesto que el robo de datos personales con fines fraudulentos está a la orden del día.
9. Notificar brechas de seguridad
Si los archivos o bases de datos donde se almacenan los datos personales queda expuesta de alguna forma, permitiendo el acceso a dichos datos a terceras personas ajenas a la empresa, existe la obligación de informar en un plazo no superior a 72 tanto a los afectados como a la AEPD.
Así que lo mejor que puede hacerse para poder cumplir con el plazo, es contar con protocolos de actuación ante este tipo de situaciones, que también incluyan las medidas a tomar para parar el ataque y solucionar los problemas de seguridad que lo ha propiciado.
¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas
10. Nombrar un Delegado de Protección de Datos (DPO)
Solo si se maneja un gran volumen de datos o estos son de carácter especial, se tendrá obligación de nombrar un Delegado de Protección de Datos (DPO). Se trata de un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales.
Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPO y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.
El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.
Preguntas frecuentes
¿Es posible investigar los datos personales en materia financiera sin vulnerar la Ley de Protección de Datos?
Sí. Los detectives privados están habilitados por la Ley de Seguridad Privada para investigar este tipo de información sensible a la hora de elaborar informes que las entidades financieras pueden presentar como prueba en un juicio.
Pueden obtener información de personas, siempre que no se utilicen para ello “medios materiales o técnicos que atenten contra el derecho al honor, la intimidad personal o familiar”.
¿Puede una mutua utilizar detectives privados para la investigación de bajas laborales?
Sí, pueden hacerlo siempre que tengan un interés legítimo en esa investigación.
Cualquier persona, ya sea física o jurídica, no puede encargar libremente a detectives privados para realizar una investigación concreta sobre una tercera persona, ya que supondría una vulneración en su intimidad, sino que deberá existir una motivación e interés legítimo que permita ampararlo, y que guarde relación directa con la persona investigada.
¿Debo someterme a auditorías o inspecciones por el RGPD?
En el RGPD no existe obligación de que se realicen auditorías o inspecciones periódicamente. Pero la AEPD, como autoridad de control, tiene la potestad de llevarlas a cabo dentro de sus competencias de inspección. Sin embargo, esto no significa que las auditorías o inspecciones autoimpuestas no sean aconsejables o incluso un requisito de hecho para el cumplimiento del RGPD.
¿Puedo comunicarme con mis clientes a través de WhatsApp?
Sí, puedes utilizar este sistema de comunicación con los clientes. Pero necesitas su consentimiento expreso para ello.
A partir de la entrada en vigor del RGPD los autónomos y empresas que utilicen WhatsApp con sus clientes podrían ser multados al ser éstos los responsables del tratamiento de los datos de sus clientes, sobre todo si no se ha requerido el consentimiento del afectado de forma libre, informado y específico. Es decir, hay que advertir que WhatsApp puede compartir sus datos con la red social Facebook de forma clara para que el usuario consienta dicho traspaso de información. Este sistema agiliza mucho la comunicación, ya que prácticamente todo el mundo lo tiene instalado y por ello es fundamental recoger correctamente los consentimientos de los usuarios.
¿Cómo puedo demostrar que cumplo el RGPD?
Ante la AEPD los detectives privados pueden demostrar el cumplimiento del RGPD de las siguientes formas:
- Estableciendo políticas internas de protección de datos.
- Adoptando códigos de conducta aprobados por asociaciones y otros organismos que representan categorías de responsables y encargados del tratamiento.
- Obteniendo certificaciones de protección de datos por parte de organismos de certificación acreditados.
- Ejecutando las directrices dadas por el Consejo Europeo de Protección de Datos.
- Cumpliendo las indicaciones específicas dadas por un Delegado de Protección de datos.
Modelos
Aquí te dejo todos los documentos que necesitarás para adaptar tu despacho a la normativa de Protección de Datos.
- Contrato con terceros
- Página web
- Compromiso confidencialidad empleados
- Consentimientos
- Videovigilancia
- Comunicaciones
Sanciones
Hay que tener en cuenta que no cumplir con el RGPD, independientemente de que sea algo voluntario o a causa de un incidente o un error interno de algún empleado, puede provocar que tu despacho o agencia de detectives privados sufra una inspección o investigación regulatoria, algo que consumirá tiempo y recursos.
Pero además, puede conllevar enfrentar sanciones impuestas por la AEPD, que pueden suponer una multa que en sus valores máximos podría llegar a suponer el 4% del volumen de negocio del último ejercicio, 20 millones de euros para las infracciones más graves, o hasta el 2% o 10 millones de euros para cuestiones de índole administrativo.
Aquí tienes algunos ejemplos de sanciones impuestas por la AEPD a despachos de detectives privados.
No atender debidamente el ejercicio del derecho de acceso
El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos. El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. Resolución AEPD R/01001/2016
Instalar cámaras de videovigilancia que graban la vía pública
Si instalas cámaras de Videovigilancia en tu despacho, debes informar correctamente mediante los correspondientes carteles. Además debes tener en cuenta que no puedes grabar la vía pública ni propiedades de terceros. También es conveniente informar a los empleados de la instalación de las videocámaras. Resolución AEPD E/01403/2012
Y tú, ¿realizas tu actividad como detective cumpliendo la normativa de Protección de Datos?
Escribe aquí tu comentario