Tras la aprobación en España, en diciembre de 2018, de la nueva ley de Protección de Datos, te dejo una sencilla guía sobre el cumplimiento de esta normativa.

Guía para cumplir la LOPDGDD (nueva ley de Protección de datos 2018)

Aunque ya debemos cumplir con el Reglamento europeo de Protección de Datos (RGPD) desde el 25 de mayo de 2018, en España se ha aprobado la ley que lo desarrolla (Ley Orgánica 3/2018 de Protección de Datos y de Garantía de los Derechos Digitales).

El principal objetivo de esta ley es garantizar la protección de los datos personales de personas físicas. Para ello se establecen distintos mecanismos de seguridad para el tratamiento de esos datos.

Esta ley es aplicable, por tanto, a cualquier tratamiento, manual o automatizado, total o parcial, de los datos personales.

En la LOPDGDD se introduce una novedad que es la protección de datos de personas fallecidas. Esta puede ejercerse por sus herederos o familiares solicitando la rectificación o cancelación de sus datos. También se establece que, en el caso de menores de edad, ese derecho pueda ejercerse por el Ministerio Fiscal.

Y debemos conocer las novedades y pasos para adaptarnos correctamente.

como cumplir la lopd-gdd ley de proteccion de datos y garantia de derechos digitales

1. Registrar los tratamientos realizados en la empresa

Es importante comprender:

Puede ser cualquier cosa, desde:

  • un nombre,
  • una foto,
  • una dirección de correo electrónico,
  • datos bancarios,
  • sus publicaciones en redes sociales,
  • su información médica o
  • dirección IP de su ordenador.

2. Consentimiento inequívoco y explícito

Se requiere que las personas cuyos datos se tratan presten su consentimiento mediante una manifestación inequívoca o una clara acción afirmativa.

De esta forma se excluye el uso del llamado consentimiento tácito que permitía la normativa española.

Según esto, si los consentimientos se obtuvieron con anterioridad a la fecha de aplicación del RGPD sólo seguirán siendo válidos si fueron otorgados respetando los criterios de este nuevo Reglamento. Es decir, el usuario de una web, por ejemplo, deberá marcar la casilla en la que consiente expresamente que la información facilitada sea utilizada con fines comerciales y/o cedida a terceros.

Así mismo, se establece que:

  • el consentimiento no puede ser genérico,
  • los datos sólo serán usados para la finalidad sobre el que se ha informado al usuario y
  • serán necesarios consentimientos independientes si esos datos se van a usar para otras finalidades.

En caso de menores de 14 años en relación de la oferta de servicios de la sociedad de la información, como por ejemplo redes sociales o tiendas online, se requerirá el consentimiento de los padres o tutores.

3. Obligación de dar más información

Además de los datos requeridos por la antigua LOPD que incluyen:

  • finalidad del uso de los datos,
  • destinatarios de esos datos,
  • obligación o no de facilitar los datos y sus consecuencias,
  • derechos del interesado e
  • identidad del responsable.

Ahora se exige la inclusión de:

  • base jurídica del tratamiento;
  • tiempo máximo que se mantendrán los datos;
  • identidad, si procede, del Delegado de Protección de datos;
  • si habrá o no trasferencia internacional de datos;
  • el derecho a presentar una reclamación;
  • la existencia o no de decisiones automatizadas.

En relación a los derechos ARCO es necesario informar sobre los derechos de:

  • acceso,
  • rectificación,
  • supresión (derecho al olvido),
  • limitación,
  • portabilidad, y
  • oposición.

Las entidades deberán actualizar los avisos de privacidad de la web para adaptarlos al RGPD y estar preparados para incluirlos en contratos y formularios.

4. Análisis del riesgo

Todas las empresas sin excepción y los proyectos, ya sean comerciales, de creación de una página web, de desarrollo de entorno tecnológico, etc., deben:

  • examinar las vulnerabilidades informáticas y potenciales brechas de seguridad, garantizando que se utilizan las técnicas más avanzadas para impedir, bloquear o neutralizar potenciales ataques;
  • implantar un sistema de vigilancia con revisiones periódicas y actualizando los sistemas de análisis para evitar la obsolescencia y,
  • asegurar que en todo momento los tratamientos de datos se ajustan a la normativa de protección de datos en vigor.

5. Comunicar los incidentes de seguridad

Es obligatorio notificar a la AEPD y a los afectados, en el plazo de 72 horas desde su conocimiento, las violaciones de seguridad producidas. Si esa brecha de seguridad se considera de alto riesgo para el interesado, la empresa tiene la obligación de comunicarlo directamente.

La notificación a la autoridad debe incluir como mínimo:

  • naturaleza de la violación, y cuando sea posible las categorías y número de afectados aproximados;
  • nombre y los datos de contacto del DPD o de otro punto dónde obtener más información;
  • consecuencias posibles de la violación;
  • medidas adoptadas o propuestas para remediar los efectos negativos.

6. Evaluaciones de impacto sobre la protección de datos

Existen empresas que, por la naturaleza de los datos que manejan, estarán obligadas a realizar una evaluación del impacto.

Estas son:

  • empresas que efectúen una evaluación sistemática de aspectos personales basadas en un tratamiento automatizado, como la elaboración de perfiles, en base a los que se tomen decisiones con efectos jurídicos o que les afecten significativamente;
  • las que realicen tratamiento a gran escala de las categorías especiales de datos o datos relativos a condenas e infracciones penales;
  • aquellas que realicen una observación sistemática a gran escala de una zona de acceso público.

La diferencia entre la evaluación de impacto y el análisis de riesgo es que la primera se centra en medir el riesgo para los derechos y libertades de las personas físicas, en relación con la protección de datos. Y la segunda analiza las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas para impedir, bloquear o neutralizar los ataques.

7. Contratos de Encargado del Tratamiento

Los Contratos de Encargados del Tratamiento, que las empresas suscriben con terceros para el tratamiento de datos de los que son responsables, también tendrán que ser actualizados para cumplir con la nueva normativa.

El contrato tiene que constar por escrito. Y se incluirán las instrucciones del responsable al encargado en relación con:

  • medidas de seguridad,
  • régimen de subcontratación,
  • confidencialidad y
  • destino de los datos una vez finalizada la prestación del servicio.

La AEPD ha redactado las Directrices para la elaboración de contratos entre responsables y encargados del tratamiento, donde incluye un modelo de contrato que debe personalizarse para adaptarlo al caso concreto.

8. Garantizar los derechos digitales

La nueva LOPD dedica una sección a los derechos digitales.

Con ello se pretende ampliar a Internet la exigencia y aplicación de los derechos y libertades reconocidos en la Constitución y en los Tratados Internacionales.

ley proteccion de datos garantia de los derechos digitales

Dentro de esos derechos digitales están:

  • Desconexión digital en el ámbito laboral
  • Intimidad de los trabajadores en el uso de sistemas de geolocalización y videovigilancia
  • Educación digital y protección de menores
  • Bono social de acceso a Internet
  • Neutralidad de la red
  • Testamento digital

Desconexión digital

Se regula el derecho de los trabajadores a la desconexión digital. Es decir, una vez finalizado su horario laboral, no tienen obligación de responder a llamadas o correos electrónicos de trabajo.

Intimidad de los trabajadores

Se prohíbe la grabación de los trabajadores en determinadas zonas de la empresa como aseos, comedores o zonas de descanso.

Igualmente el uso de sistemas de geolocalización debe respetar la intimidad de los empleados.

Educación digital y protección de menores

Debe garantizarse una formación digital para un uso seguro de los medios respetuoso con la dignidad humana y los valores constitucionales.

La nueva ley establece los 14 años como edad límite para que los menores puedan otorgar su consentimiento para proteger sus datos personales.

Bono social

Para garantizar la universalidad de Internet, el gobierno establecerá un Plan de acceso con un bono social para que aquellas personas más desfavorecidas tengan la opción de acceder a la red en igualdad de condiciones.

Neutralidad de la red

Los proveedores de servicios de Internet garantizarán el acceso a todos los usuarios sin discriminación alguna. Y garantizarán también la seguridad de las comunicaciones a través de la red.

Testamento digital

Los herederos o familiares directos, siempre que el fallecido no lo haya prohibido expresamente, puedan gestionar o suprimir todos sus contenidos ‘online’, desde información, cuentas bancarias o en redes sociales y otros servicios similares.

A pesar de la relevancia de estos derechos, hasta hace relativamente poco tiempo apenas se les conocía, ni el riesgo que puede conllevar el no ejercerlos.

Escándalos como la fuga de millones de datos personales de Facebook o programas ilegales de espionaje realizados por compañías privadas están consiguiendo que nos concienciemos y adoptemos medidas para defender algo que es nuestro por derecho propio. A pequeña escala, las aplicaciones del móvil, que solicitan acceso a nuestros contactos, fotos y otra información personal que no necesita para su funcionamiento, están a la orden del día.

Los cambios tecnológicos requieren legislaciones que los contemplen. Las posibilidades de la red y de las plataformas sociales ha creado una brecha entre los usuarios y las compañías, que luchan por comercializar el oro negro del siglo XXI, los datos personales. Sólo cabe esperar para ver de qué lado se pondrán los organismos gubernamentales.

Régimen sancionador

En el RGPD no se regulan claramente los tipos de infracciones y las sanciones que corresponden a cada una de ellas. Únicamente se establecen multas que pueden alcanzar los 20 millones de euros o el 4% del volumen de facturación anual de la empresa. Pero no indica los criterios para graduar esas sanciones.

En España, la LOPDGDD ha aclarado bastante estos supuestos. Se sigue manteniendo la clasificación anterior de las infracciones según cómo afecten a los datos personales.

Según esta norma, las infracciones pueden ser:

  • Muy graves: por ejemplo, si no se informa al afectado sobre el tratamiento de sus datos, si los datos se usan para una finalidad diferente de aquella para la que se recogieron, si para ejercer el derecho de acceso se exige que el afectado pague una cantidad de dinero, etc. Estas infracciones prescriben a los 3 años.
  • Graves: entre ellas están la no implantación de las medidas técnicas y organizativas necesarias para proteger los datos, recopilar datos de menores sin su consentimiento o el de sus padres, etc. La prescripción de estas infracciones se produce a los 2 años.
  • Leves: por ejemplo, no informar al afectado cuando lo haya solicitado, el incumplimiento de sus obligaciones por parte del encargado del tratamiento y otras no incluidas en los apartados anteriores. La prescripción se produce al año.

Mientras tanto, conozcamos nuestros derechos.

Es la única forma de defenderlos.

Descargar LOPDGDD

Aquí puedes descargar la nueva ley de Protección de datos 2018 (LOPDGDD) en formato pdf.

Modelos

Para finalizar te dejo un enlace donde puedes descargar todos los modelos y plantillas que necesites para cumplir adecuadamente la LOPDGDD.

¿Necesitas cumplir la LOPD-GDD?

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Buenos días,

    tengo un problema: intenté borrar mis datos de la empresa Idealista.com en la que estaba registrado.

    Al darme de alta nuevamente, la empresa me ha dado constancia de que aún tiene mis datos de e-mail y número de teléfono.

    Esos datos son totalmente personales y están asociados a mi persona. Bajo la nueva RGPD deberían borrar todos mis datos.

    Qué puedo hacer?

    Saludos y muchas gracias

  2. Hola buenas noches:

    Se sigue aplacando este criterio de los datos personales de la LOPD:

    IV.
    Algunas disposiciones de la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas) se aplican también a las personas jurídicas. En su artículo 1, apartado 2, se establece que: «Las disposiciones de la presente Directiva especifican y completan la Directiva 95/46/CE a los efectos mencionados en el apartado 1. Además, protegen los intereses legítimos de los abonados que sean personas jurídicas». Por consiguiente, los artículos 12 y 13 amplían el ámbito de aplicación de algunas disposiciones referentes a las guías de abonados y a las comunicaciones no solicitadas a las personas jurídicas.
    La información referente a personas jurídicas también puede ser considerada, en función de sus características, como información «sobre» personas físicas, de conformidad con los criterios establecidos en este documento. Así puede suceder cuando la denominación de la persona jurídica tiene su origen en el nombre de una persona física. Otro ejemplo puede ser el del correo electrónico de una empresa, utilizado normalmente por un empleado determinado o el de la información sobre una pequeña empresa (jurídicamente hablando un «objeto» más que una persona jurídica) que pueden describir el comportamiento de su usuario o propietario. En todos estos casos, en los que los criterios de «contenido», «finalidad» o «resultado» permiten considerar la información relativa a una persona jurídica o a actividades empresariales como información «sobre» una persona física, tal información debe ser calificada como datos personales, debiéndosele aplicar las normas de protección de datos.