Guía Rápida RGPD

Nueva Normativa RGPD

Desde el  25 de mayo de 2018 se aplica el nuevo Reglamento UE 2016/679, General de Protección de Datos (RGPD). También se aplica una nueva Ley de Protección de Datos, que especifica y complementa ciertas partes del RGPD, pero sin modificarlo.

No importa si el tratamiento de datos de carácter personal los realiza un autónomo o una sociedad. El RGPD no realiza ninguna distinción en este sentido, por lo que quienes desarrollen una actividad empresarial deberán cumplir con la legislación de protección de datos independientemente de cómo la realicen.

Aunque estos cambios normativos derivan de una normativa de ámbito europeo, el organismo encargado de velar por el cumplimiento del RGPD y de la nueva LOPD seguirá siendo la Agencia Española de Protección de Datos (AEPD, http://www.agpd.es).

En este sentido, la AEPD ha creado una sección específica en su página web donde publica todo tipo de información de interés sobre el RGPD. Puedes acceder a ella a través del siguiente enlace: http://www.agpd.es/portalwebAGPD/temas/reglamento/.

Esta normativa no se aplica a los datos de personas jurídicas. Por tanto, si únicamente se tienen recopilados datos de sociedades limitadas o anónimas (como su denominación, domicilio, teléfono…), no habrá obligación de cumplir las obligaciones del RGPD.

Entendiéndose por datos de carácter personal únicamente cualquier información que identifica o que hace posible la identificación de una persona física, para su localización profesional con la única finalidad de mantener relaciones de cualquier clase con la persona jurídica en la que el titular de los datos preste sus servicios.

 

Además la normativa reconoce los siguientes derechos:

  • El derecho a que se requiera el previo consentimiento inequívoco del afectado para la recogida y el uso de sus datos personales, o, en cualquier caso, que exista otra base jurídica que legitime el tratamiento de los datos.
  • El derecho del titular de los datos o afectado a ser informado sobre el destino y uso que se va a hacer de sus datos.

 

Asimismo, se reconocen los derechos tradicionales de acceso, rectificación, cancelación y oposición, y otros nuevos como el derecho al olvido, el derecho a la limitación del tratamiento, el derecho a la portabilidad de los datos y el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles.

Análisis de la situación actual

Una buena forma de analizar la situación de tu empresa e iniciar la adaptación a la nueva normativa es realizar un inventario de todos los datos que recopiles, almacenes, utilices o comuniques a terceros, incluyendo el acceso de estos terceros a la información (por ejemplo, por un acceso remoto a la aplicación informática que pueda contener datos personales), incluyendo:

  • Los datos de carácter personal de las distintas categorías de personas físicas que puedas identificar: clientes, clientes potenciales, trabajadores, proveedores, usuarios y clientes web, imágenes captadas por cámaras de videovigilancia, etcétera; así como los ficheros o aplicaciones informáticas que contienen los datos personales y a través de los cuales se procesan.
  • La ubicación de los datos personales.
  • Los flujos o comunicaciones de datos a terceros, con mención de los medios utilizados para compartir este tipo de información y la localización de los datos (por ejemplo, en un servidor propio en las instalaciones de la empresa o en un servidor de un tercero con identificación del país donde se ubica).
  • El período de conservación de los datos y, en su caso, la forma de destruirlos.

A continuación, analizar los riesgos para establecer hasta qué punto una actividad de tratamiento puede causar un daño a los titulares de los datos como:

  • Riesgos asociados a la protección de la información, tales como el acceso ilegítimo a los datos (confidencialidad), la modificación no autorizada de los datos (integridad) y la eliminación de los datos (disponibilidad).
  • Riesgos asociados al cumplimiento de los requisitos legales del RGPD, tales como el tratamiento de datos sin base jurídica o la falta de un procedimiento para atender el ejercicio de los derechos de los interesados.
 
Por otro lado, aunque la empresa será en todo caso la que responderá ante cualquier posible infracción del RGPD, podrá delegar determinadas funciones y obligaciones en materia de protección de datos a algún trabajador (por ejemplo, puede crear las figuras del responsable de la LOPD o de responsable de seguridad).
En cualquier caso, el RGPD sí que prevé el nombramiento de una nueva figura, el llamado Delegado de protección de datos o DPO (por sus siglas en inglés, Data Protection Officer). Están obligadas a nombrar un DPO:
  • Las Administraciones Públicas.
  • Las empresas del sector privado que realicen tratamientos que requieran una observación habitual o sistemática de las personas, o bien que traten datos especialmente protegidos a gran escala.
  • Los centros docentes, operadores de telecomunicaciones, entidades financieras, entidades de publicidad y prospección comercial, centros sanitarios, operadores de juego, empresas de seguridad privada, entre otros.

El DPO puede ser alguien interno de la empresa o externo (como un asesor a quien encargue esta función mediante un contrato de servicios). En todo caso, el DPO no puede ser cualquier persona, ya que es necesario que tenga conocimientos jurídicos y prácticos en materia de protección de datos y no se encuentre en una situación de conflicto de interés.

Identificación y Documentación

Con el nuevo Reglamento ya no deberás notificar la creación de los ficheros de datos personales para su inscripción en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos (como sí era obligatorio hacer hasta ahora).

Por su parte, si deberás identificar los tratamientos de datos personales que realices, a efectos de mantener un registro de actividades del tratamiento (si estuvieras obligado a ello). Una actividad de tratamiento comprende el uso de datos personales de un determinado colectivo o categoría de personas. Así, una actividad de tratamiento puede ser la gestión de personal, la gestión de historias clínicas, la gestión de clientes, la gestión de proveedores, etc.

Se ha de identificar aquellos tratamientos de datos personales de los que tu empresa sea responsable (como los de sus clientes, proveedores y trabajadores), pero también de los que seas el encargado del tratamiento (por ejemplo, si tratas datos personales por cuenta de tus empresas clientes).

 

En algunos casos será necesario mantener un registro de las actividades de tratamiento en el que se contenga la información establecida por el RGPD. En concreto, es obligatorio mantener este registro en los siguientes casos:

  • Si tu empresa emplea a más de 250 trabajadores.
  • Si tu empresa emplea a menos de 250 trabajadores, pero realiza un tratamiento de datos que pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos.

 

Este registro debe constar por escrito (es válido en formato electrónico), y deberá mantenerse actualizado y a disposición de la AEPD en el supuesto de que ésta lo solicite. Y deberá contener toda una serie de información, dependiendo de si tu empresa actúa como responsable o como encargado del tratamiento:

  • Responsable. Si actúa como responsable del tratamiento, el registro debe contener:
    • El nombre y los datos de contacto de tu empresa y, en su caso, del delegado de protección de datos.
    • Los fines del tratamiento.
    • Una descripción de las categorías de interesados y de las categorías de datos personales.
    • Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países.
    • Las transferencias internacionales de datos a un tercer país y la documentación de las garantías adecuadas que legitimen dichas transferencias.
    • Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
    • Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad. 
  • Encargado. Si actúa como encargado del tratamiento, el registro debe contener:
    • El nombre y los datos de contacto de los responsables por cuya cuenta actúe tu empresa y, en su caso, del delegado de protección de datos.
    • Las categorías de tratamientos efectuados por cuenta de cada responsable.
    • Las transferencias internacionales de datos a un tercer país y la documentación de las garantías adecuadas que legitimen dichas transferencias.
    • Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.
Información y consentimiento

Si tu empresa obtiene datos personales (de clientes, trabajadores, usuarios de tu página web), está obligada a informar al interesado de los tratamientos o usos que va a realizar con esos datos. La obligación de informar corresponde a tu empresa si actúa como responsable del tratamiento. Este derecho de información de los interesados es esencial, ya que tiene varias finalidades:

  • Que el afectado pueda prestar su consentimiento (específico, informado e inequívoco) para que se traten sus datos personales.
  • Que el afectado pueda ejercer los derechos de acceso, rectificación, limitación al tratamiento, supresión, portabilidad y oposición que la normativa reconoce a los interesados.

 

Básicamente, debes informar a los interesados de los siguientes extremos:

  • De la identidad y la dirección de tu empresa.
  • De los datos del delegado de protección de datos (si existe en tu empresa).
  • De la finalidad del tratamiento de tus datos y la base jurídica del tratamiento.
  • De los destinatarios de la información.
  • Del plazo o los criterios de conservación de la información.
  • De la existencia de decisiones automatizadas, incluida la elaboración de perfiles (en caso de que existan en tu empresa)
  • De la previsión de transferencias internacionales a terceros países.
  • Del derecho a presentar una reclamación ante la Agencia Española de Protección de Datos.
  • Del carácter obligatorio o facultativo de las respuestas a las preguntas que plantees a los interesados.
  • De las consecuencias de la obtención de los datos o la negativa a suministrarlos.
  • De la posibilidad de ejercitar los derechos de acceso, rectificación, limitación al tratamiento, supresión, portabilidad y oposición.

 

Si obtienes los datos directamente del propio interesado, debes proporcionarle la información indicada en el momento en el que solicites sus datos, previamente a su recogida o registro.

En cambio, si obtienes los datos de personas distintas al interesado (por ejemplo, por una cesión legítima de datos) deberás informar al interesado de esa recogida de datos en un plazo razonable, pero, en cualquier caso, antes de un mes desde que se obtuvieron los datos personales o, en su defecto, en la primera comunicación con el interesado.

Como regla general, para que puedas tratar lícitamente los datos personales de tus clientes (o de cualquier otra categoría de interesados) es necesario que, además de informarles en los términos indicados, solicites y obtengas su consentimiento previo e inequívoco, mediante una declaración o una clara acción afirmativa del interesado.

Puede suceder que tu empresa esté tratando unos datos personales desde antes de la aplicación del RGPD, y que lo haga sobre la base del consentimiento del afectado. Pues bien, en este caso dicho consentimiento sigue siendo válido, pero sólo si se prestó de la forma en que exige el RGPD, es decir, sólo si se prestó mediante una declaración o acción afirmativa del afectado.

En todo caso, ten en cuenta que el afectado tiene derecho a revocar su consentimiento en cualquier momento y a través de un medio sencillo y gratuito. La retirada del consentimiento no afecta al tratamiento de los datos que hayas realizado anteriormente, pues éste se basó en el consentimiento prestado antes de su retirada.

Comunicación de Datos a Terceros

No toda comunicación o revelación de datos a un tercero implica una cesión de datos a efectos legales. En este sentido, cabe distinguir dos supuestos:

  • La cesión de datos propiamente dicha.
  • El acceso a datos para la prestación de un servicio.

 

Habrá una cesión de datos si el tercero que recibe los datos puede aplicarlos a sus propias finalidades, decidiendo sobre el objeto y finalidad del tratamiento.

En cambio, si quien recibe los datos se limita a efectuar determinadas operaciones sobre ellos, pero no decide sobre su finalidad, existirá un acceso a datos para la prestación de un servicio.

Para ceder datos de forma lícita tu empresa deberá contar con alguna de estas bases jurídicas:

  • Que cuente con el consentimiento previo, específico e inequívoco de los titulares de dichos datos.
  • Que la cesión sea necesaria para la ejecución o desarrollo de una relación contractual.
  • Que constituya una obligación legal para el cedente.
  • Que obedezca a intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
  • Que sirva para salvaguardar el interés vital del interesado o de otras personas.

 

La realización de una prestación de servicios con acceso a datos requiere la existencia de un contrato escrito que establezca expresamente las obligaciones del encargado del tratamiento. Con el RGPD, la responsabilidad última sobre el tratamiento sigue estando atribuida al responsable, que es quien determina la existencia del tratamiento y su finalidad. Ahora bien, el RGPD introduce cambios importantes en las relaciones responsable-encargado que tu empresa deberá tomar en consideración independientemente de la posición que ocupe en el tratamiento de los datos.

De esta manera, si tu empresa es el responsable:

  • Tendrá que elegir únicamente encargados que ofrezcan garantías suficientes de que aplicarán medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con el RGPD. Este requisito también se aplica a los encargados cuando subcontraten operaciones de tratamiento con otros subencargados.
  • Es aconsejable que exija una declaración por escrito de dicho encargado conforme cumplirá las exigencias del RGPD y que le solicite, además, una prueba del cumplimiento del RGPD antes de firmar el contrato y durante su vigencia.

Si, en cambio, tu empresa es el encargado del tratamiento, deberás tener en cuenta:

  • Considerar la necesidad o conveniencia de mantener un registro de las actividades del tratamiento.
  • Determinar las medidas de seguridad aplicables a los tratamientos que realices.
  • Designar un delegado de protección de datos en los casos previstos por el RGPD.
  • Si destinas los datos a una finalidad distinta a la establecida en el contrato suscrito con el responsable (o si los comunicas o utilizas incumpliendo las estipulaciones de dicho contrato), responderás de las infracciones, pues se considerará como responsable del tratamiento a estos efectos.
  • Respecto a los contratos entre responsable y encargado firmados con anterioridad al 25 de mayo de 2018, el proyecto de nueva ley LOPD prevé que dichos contratos sigan vigentes hasta su vencimiento; y si el contrato es de duración indefinida, hasta mayo de 2022.
Derechos de los interesados

El RGPD contiene los tradicionales derechos de acceso, rectificación, cancelación y oposición, conocidos de forma conjunta bajo el acrónimo ARCO, y también algunos nuevos derechos.

Con carácter general, tu empresa, como responsable del tratamiento, debe facilitar a los interesados el ejercicio de sus derechos, y los procedimientos y las formas para ejercerlos deben ser visibles, accesibles y sencillos. Se exige, además, que sea posible la presentación de solicitudes por parte de los interesados por medios electrónicos, especialmente cuando realice el tratamiento por estos medios (por ejemplo, a través de una página web).

Derecho de acceso. El derecho de acceso es el derecho que tiene el interesado a conocer y obtener gratuitamente información sobre estos extremos:

  • Sobre si sus datos de carácter personal están siendo objeto de tratamiento; y, en caso afirmativo, sobre las categorías de datos objeto de tratamiento y la finalidad del tratamiento que se esté realizando.
  • Sobre el origen de tales datos (cuando no los hayas obtenido del interesado) y las comunicaciones que se hayan hecho de éstos o que se prevean realizar.
  • De ser posible, el plazo previsto de conservación de los datos personales; y de no ser posible, los criterios utilizados para determinar este plazo.
  • El derecho a solicitar la rectificación, supresión o limitación del tratamiento o a oponerse al tratamiento de sus datos.
  • El derecho a presentar una reclamación ante la AEPD.
  • El derecho a ser informado de las garantías adecuadas en caso de que sus datos se transfieran a un tercer país.
  • El derecho a obtener una copia de los datos personales objeto de tratamiento, sin que ello afecte a derechos de terceros.

Derecho de rectificación. El derecho de rectificación es el derecho que permite al interesado exigir que se corrijan errores o que se modifiquen los datos que sean inexactos o incompletos para garantizar la certeza de la información que se esté tratando.

Derecho de supresión. El derecho de supresión (también llamado derecho al olvido) es el derecho que permite al interesado solicitar que se supriman los datos en los siguientes casos:

  • Cuando sus datos ya no resulten necesarios para la finalidad para la que fueron recogidos.
  • Cuando revoque su consentimiento y no exista otra base jurídica que legitime el tratamiento de sus datos.
  • Cuando se oponga al tratamiento de sus datos sin que prevalezcan otros motivos legítimos para conservarlos.
  • Cuando los datos se hayan tratado ilícitamente.
  • Cuando así lo establezca una norma de rango legal.
  • Cuando se trate de datos de menores de 13 años obtenidos en el marco de un servicio en Internet.

Derecho a la limitación del tratamiento. El derecho a la limitación del tratamiento es el derecho que tienen los interesados a que no se apliquen sus datos personales a las operaciones de tratamiento que en cada caso corresponderían.

Como responsable del tratamiento, durante el tiempo en que dure la limitación tú o tu empresa sólo podréis tratar los datos afectados más allá de su conservación con el consentimiento del interesado, para la formulación y el ejercicio o defensa de reclamaciones y para proteger los derechos de otra persona física o jurídica.

Derecho a la portabilidad de los datos. El derecho a la portabilidad significa que el interesado tiene derecho a recibir los datos personales que le incumban y que haya facilitado al responsable. La copia de sus datos que se facilite al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica.

Asimismo, el derecho a la portabilidad permite al interesado solicitar que sus datos personales se transmitan directamente de un responsable a otro sin necesidad de que le sean transmitidos previamente a él, si ello es técnicamente posible.

Derecho de oposición y decisiones individuales automatizadas. Consiste en el derecho del interesado a oponerse a que se traten sus datos, por lo que el responsable deberá dejar de tratarlos salvo que acredite motivos legítimos para seguir haciéndolo.

Este derecho también comprende el derecho del interesado a no ser objeto de una decisión basada únicamente en el tratamiento automatizado de sus datos incluida la elaboración de perfiles que produzca efectos jurídicos en él o le afecte significativamente de modo similar (este derecho no se aplicará si la decisión automatizada es necesaria para la celebración o ejecución de un contrato, si está autorizada por una norma legal o bien si se basa en el consentimiento explícito del interesado).

Posible reclamación del afectado. Si un interesado ejercita alguno de estos derechos, recuerda que estás obligado a contestarle en el plazo de un mes, aunque no tengas datos suyos. Y en caso de no dar curso a su solicitud, deberás informarle de la posibilidad de presentar una reclamación ante la AEPD y de ejercitar acciones judiciales. Además, es necesario que contestes siempre a estas solicitudes por un medio que permita acreditar su envío y la recepción de su respuesta por parte del interesado.

Medidas de Seguridad

A partir de ahora, y tanto si eres el responsable como el encargado del tratamiento, sigues estando obligado a adoptar medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, según los riesgos que se hayan detectado al realizar el análisis previo.

Sin embargo, el nuevo RGPD no especifica qué medidas de seguridad concretas hay que aplicar en cada caso, sino que éstas se deben determinar por el responsable o por el encargado según diversas variables: el estado de la técnica, los riesgos que existan para los derechos y libertades de los interesados, la naturaleza, el alcance, el contexto y los fines del tratamiento y los costes de aplicar las medidas.

No obstante, la propia AEPD ha señalado que, en algunos casos, se pueden seguir aplicando las mismas medidas de seguridad que establece la normativa hasta ahora vigente si del análisis de riesgos se concluye que dichas medidas son idóneas para ofrecer un nivel de seguridad adecuado (en caso contrario, será necesario completar dichas medidas o prescindir de alguna de ellas).

Niveles de seguridad
En muchos casos se pueden seguir aplicando las mismas medidas de seguridad que establecía el Reglamento de Desarrollo de la LOPD, si estas ya ofrecen un nivel adecuado de seguridad. Dicha norma establece tres niveles de seguridad acumulativos (alto, medio y básico), dependiendo de la naturaleza de los datos personales tratados:

 

Nivel alto
Los ficheros y tratamientos de datos de nivel alto deben aplicar las medidas previstas en los niveles básico, medio y alto. Son ficheros o tratamientos de nivel alto, entre otros, los que se refieren a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

Una de las medidas de seguridad que se debe implantar en estos ficheros de nivel alto (si son automatizados) es, por ejemplo, la del registro de accesos, de manera que quede registrado el usuario que ha intentado acceder al fichero, la hora, el fichero, el tipo de acceso y si dicho acceso ha sido autorizado o denegado.

Nivel medio
Los ficheros y tratamientos de datos de nivel medio deben adoptar tanto las medidas de seguridad de nivel básico como las de nivel medio. Son ficheros o tratamientos de nivel medio, entre otros, aquellos relativos a la prestación de servicios de solvencia patrimonial y créditos, aquellos de los que sean responsables entidades financieras para las finalidades relacionadas con la prestación de servicios financieros y aquellos que contengan un conjunto de datos que ofrezcan una definición de las características o de la personalidad y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de las personas.

Una de las medidas que se debe implantar para estos ficheros o tratamientos de datos de nivel medio es la realización de una auditoría (interna o externa) cada dos años a fin de verificar que se cumplen las medidas de seguridad que exige la normativa de protección de datos.

Nivel básico

Los ficheros o tratamientos de datos de carácter personal de nivel básico sólo deben adoptar las medidas de seguridad de nivel básico. Son ficheros o tratamientos de datos básico cualquier otro fichero distinto a los indicados que contenga datos de carácter personal.

Una de las medidas de seguridad de nivel básico (y que, por tanto, debe implantarse en todo tipo de ficheros automatizados) es que se establezca un procedimiento de asignación y distribución de contraseñas y que las contraseñas se cambien, al menos, una vez al año.

También se consideran de nivel básico los ficheros o tratamientos que contienen datos de nivel medio o alto sólo de forma accidental o accesoria, pero sin guardar relación con su finalidad.

 

Por otro lado, es aconsejable realizar un Documento de Seguridad, en los mismos términos que exigía la normativa anterior. En este sentido, el documento de seguridad es un documento interno que debe mantenerse actualizado en todo momento y exhibirse en caso de inspección por parte de la AEPD. También debe demostrarse que se está aplicando de forma efectiva.

Las menciones mínimas del documento de seguridad son las siguientes:

  • Ámbito de aplicación, especificando de forma detallada los recursos protegidos (servidores, ordenadores, tablets, discos duros externos u otros elementos de almacenaje con datos de carácter personal).
  • Medidas, normas, procedimientos de actuación, reglas y estándares para garantizar el nivel de seguridad exigido.
  • Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal.
  • Estructura de los ficheros y descripción de los sistemas de información que los tratan.
  • Procedimiento de notificación, gestión y respuesta ante incidencias.
  • Procedimientos de realización de copias de respaldo y de recuperación de datos en los ficheros o tratamientos automatizados.
  • Medidas adoptadas para el transporte, la destrucción y/o la reutilización de soportes y documentos.

Cuando se trate de ficheros o tratamientos de datos de nivel medio o alto, en el documento de seguridad se debe incluir, además de los apartados anteriores, la identificación del responsable de seguridad y la obligación de realizar una auditoría bianual para verificar la correcta cumplimentación de las medidas de seguridad.

Páginas Web. Aviso Legal

Si tienes una página web meramente informativa, que utilizas como escaparate virtual de los productos o servicios que ofrece tu empresa pero con la que no captas datos personales, el RGPD no resultará de aplicación.

Por el contrario, deberás tener en cuenta esta norma si tu página web:

  • Incluye un campo en el que solicita la dirección electrónica de los usuarios del sitio (para enviarles un boletín de noticias, catálogos…),
  • Incluye un formulario de contacto que los usuarios tienen que completar para, por ejemplo, enviar consultas.
  • Permite la compraventa en línea de tus productos o servicios, para lo cual los usuarios tienen que facilitar sus datos personales.

En todos estos casos, estarás obteniendo datos personales de los usuarios de tu página web, por lo que es necesario que insertes un aviso legal para dar cumplimiento al deber de información y consentimiento. Es necesario que los usuarios acepten expresamente dicho aviso.

 

Spam. Utilizar Internet para enviar publicidad es un medio rápido, económico y sencillo para llegar a muchos destinatarios. No obstante, las empresas no pueden enviar correos electrónicos de forma indiscriminada, ya que lo prohíbe la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico.

Los destinatarios de la publicidad deben haber consentido previamente el envío. Habrá que asegurarse que en todos los formularios de la empresa donde se recogen datos de posibles clientes se menciona que éstos nos autorizan expresamente a enviarles publicidad.

No obstante, si el destinatario de la publicidad ya es cliente de tu empresa y le envías información sobre productos o servicios similares de tu propia empresa a los que él te adquirió anteriormente, no será necesario disponer de esta autorización previa para poder enviarle publicidad.

No olvides que el propio email debe informar al destinatario de la posibilidad de revocar el consentimiento otorgado inicialmente para el envío de la publicidad, e incluir una dirección electrónica a la que dirigirse para solicitar dicha revocación. Así evitarás que tus envíos puedan ser calificados como spam (correo electrónico no deseado).

 

Bases de datos de terceros. Si quieres hacer una campaña de publicidad por e-mail y decides comprar una base de datos con correos electrónicos de empresas, toma algunas cautelas: aunque te indiquen que esa base de datos cumple con la normativa de protección de datos y de envío de e-mails comerciales, no te fíes y verifica que:

  • El destinatario debe haber autorizado que se le envíen emails comerciales (excepto si ya es cliente de la empresa que los envía y la publicidad se refiere a productos similares a los que compró en su día).
  • Además, debe incluirse en el email una dirección electrónica para que el destinatario pueda oponerse a seguir recibiendo comunicaciones comerciales.

Por tanto, la empresa que te vende la base de datos debería disponer de la autorización de los titulares del correo electrónico conforme aceptan la recepción de comunicaciones comerciales de terceros.

Esta obligación debe cumplirse aunque las direcciones de correo electrónico sean de empresas, pues la normativa relativa a los emails comerciales también se aplica en estos casos.Y también debe cumplirse aunque los correos electrónicos se obtengan de fuentes públicas.

 

Cookies. Si tu empresa dispone de una página web, es probable que utilice cookies, que son unos pequeños ficheros que almacenan información del usuario que accede a la web (como, por ejemplo, información sobre los hábitos de navegación de ese usuario para después enviarle publicidad personalizada).

Pues bien, la ley obliga a informar a los usuarios y a obtener su consentimiento para utilizar o instalar cookies, y prevé sanciones importantes en caso de incumplimiento.

Eso sí: no deberás cumplir esa obligación si tu web sólo utiliza cookies técnicas, que sirven para que la web se cargue correctamente, o cookies necesarias para prestar un servicio solicitado por el usuario (como, por ejemplo, el carrito de la compra virtual).

 

Datos en la nube. Si almacenas en los servidores del proveedor de cloud datos personales de terceros, toma precauciones, pues no todos los proveedores de alojamiento cumplen con los requisitos sobre protección de datos establecidos en el RGPD.

Si el servidor en el que se almacenarán los datos está ubicado en España, asegúrate de que el contrato que aceptas incluye las siguientes obligaciones a cargo del proveedor de servicios cloud:

  • Que éste se compromete a no aplicar o utilizar los datos con fines distintos a los acordados y a no comunicarlos a terceras personas.
  • Que éste implantará medidas adecuadas al nivel de riesgo de los tratamientos de los datos, evitando que se destruyan, se alteren o se acceda a ellos sin autorización.
  • Que al finalizar el contrato devolverá los datos y no conservará copia alguna.

Si el servidor se localiza fuera de España pero dentro del Espacio Económico Europeo (Unión Europea e Islandia, Liechtenstein y Noruega), verifica que se menciona el cumplimiento de las leyes del país en cuestión.

Dado que la normativa europea está armonizada en esta materia, no habrá necesidad de requerir garantías jurídicas adicionales a las que se exigen a cualquier empresa española.

En caso de ubicación fuera del Espacio Económico Europeo (EEE), por ejemplo en Estados Unidos de hecho, los servicios más extendidos de cloud computing están establecidos en dicho país, asegúrate que su proveedor está suscrito a los principios de escudo de privacidad (privacy shield).

La Unión Europea reconoce este sistema como seguro a efectos de protección de datos y las transferencias realizadas al amparo de este mecanismo no requerirán la autorización previa de la AEPD, o bien, que ha suscrito cláusulas contractuales tipo aprobadas por la Comisión Europea.

De lo contrario, si los datos se ubican en algún país que no ofrece las garantías equivalentes de protección de datos, y no puede aportar garantías consideradas adecuadas, incluyendo, por ejemplo, el consentimiento explícito de los interesados, la transferencia internacional de datos requerirá la autorización previa del director de la AEPD.

Cámaras de Vigilancia

Las cámaras no podrán obtener imágenes de espacios públicos, salvo que ello sea inevitable. Así, una cámara situada en la puerta principal o de entrada o salida de personas no deberá tomar imágenes de toda la calle en la que se encuentre.

La colocación de cámaras debe respetar el principio de proporcionalidad y el derecho a la intimidad.

Por tanto, no las coloques de forma que capten imágenes en zonas privadas (como en los vestuarios de tus trabajadores); colócalas sólo en aquellas zonas donde razonablemente puedan cumplir con su finalidad (por ejemplo, en el acceso a tus instalaciones).

Asimismo, es necesario que informes de la colocación de las cámaras con un cartel explicativo situado en un lugar visible de las zonas videovigiladas, en el que se informe, como mínimo, de la identidad de tu empresa y la posibilidad de ejercitar los derechos que el RGPD reconoce a los interesados.

Si las cámaras que instalas en tu empresa van a estar conectadas a una central de alarmas, será necesario que este servicio se lo preste una empresa de seguridad privada (solicita a dicha empresa que te acredite que cumple este requisito). Y como dicha empresa tendrá acceso a las imágenes captadas, tu empresa deberá firmar con ella un contrato de acceso a datos por cuenta de terceros.

Si además graba las imágenes…
Si el sistema de videovigilancia instalado en tu empresa graba las imágenes, deberás conservar la grabación de las imágenes durante un plazo máximo de un mes desde su captación, aunque podrás conservarlas por más tiempo si fuera necesario para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones.

Finalidad
Cuando la finalidad de la videovigilancia sea prevenir infracciones, evitar daños a las personas o bienes objeto de protección o impedir accesos no autorizados, los servicios de videovigilancia deben ser prestados necesariamente por vigilantes de seguridad.

En cambio, si el objeto principal de la videovigilancia es únicamente la comprobación del estado de instalaciones o bienes o el control de accesos a aparcamientos y garajes, dicha videovigilancia podrá realizarse por personal distinto al de seguridad privada.

Infracciones y Sanciones

De acuerdo con el nuevo Reglamento, incumplir la normativa de protección de datos de carácter personal se sanciona con multas económicas que pueden ser muy elevadas. En este sentido, el RGPD clasifica las infracciones en dos categorías:

  • Las menos graves se sancionan con hasta 10 millones de euros o el 2% del volumen de facturación anual de la empresa (la más alta de las dos).
  • Y las más graves se sancionan con multas que pueden alcanzar hasta 20 millones de euros o el 4% del volumen de facturación anual de la empresa (la más alta de las dos).

Ten en cuenta que el régimen sancionador se aplica a los responsables y encargados del tratamiento. En cambio, no se aplica al delegado de protección de datos.

Para fijar la cuantía de la sanción (dentro de los márgenes establecidos para cada una de las infracciones) se tienen en cuenta una serie de criterios de graduación (por ejemplo, el volumen de negocio o actividad del infractor, el grado de intencionalidad, el que haya reincidencia o no, los perjuicios causados a las personas interesadas y a terceras personas…).

No obstante, el RGPD, prevé la posibilidad de que la sanción económica sea sustituida por un apercibimiento, para que el infractor adopte las medidas correctoras que se le indiquen. En todo caso, ten en cuenta que esta posibilidad es una medida excepcional.

En este sentido, la AEPD tiene potestad discrecional para aplicarla en función de la naturaleza de los hechos.

Cuando la AEPD apercibe en lugar de imponer una sanción económica, el responsable del fichero o el encargado del tratamiento deberá acreditar la adopción de las medidas correctoras indicadas por la AEPD en su resolución de apercibimiento. En caso de no acreditarse el cumplimiento de estas medidas, la AEPD ordenará la apertura de un procedimiento sancionador por dicho incumplimiento, pudiendo imponer una sanción por infracción muy grave.

Reclamación judicial en reclamación de daños y perjuicios. Asimismo, debes saber que el RGPD otorga el derecho a toda persona que haya sufrido daños y perjuicios (materiales o inmateriales) como consecuencia de una infracción del Reglamento, a reclamar una indemnización ante los tribunales competentes al responsable o encargado del tratamiento. Y ello sin perjuicio de su derecho a presentar una denuncia ante la AEPD por dicha infracción.