1 Followers
24 Following
sundaybanker93

sundaybanker93

Blog

Shelf

Timeline

0 BOOKS
SPOILER ALERT!

¿Qué es el Reglamento Europeo de Protección de Datos (RGPD)?

11:38 pm 9 September 2020

Con las nuevas tecnologías nuestros datos personales circulan por la red sin ningún género de control. Por eso se ha publicado el
RGPDo Reglamento General de Protección de Datos, la normativa que regula el tratamiento de información de carácter personal en territorio europeo. En esta guía gratuita encontrarás toda la información sobre los primordiales cambios y novedades que introduce.



¿Qué es el Reglamento Europeo de Protección de Datos (RGPD)?


El
Reglamento General de Protección de Datoses la normativa que establece las pautas a proseguir por lo que respecta al tratamiento de los datos personales de personas físicas. Asimismo, también se hace cargo de indicar las reglas en lo que se refiere a la libre circulación de dichos datos.


El principal objetivo del
GDPRes resguardar el derecho de las personas físicas a preservar sus datos personales, y asegurar el respeto a los derechos y libertades individuales recogidos en la Constitución Española.


Esta normativa europea de
protección de datosse aprobó el catorce de abril de dos mil dieciseis, pero su implantación se ha hecho eficaz en
2018. Desde ese momento, es de aplicación a todos y cada uno de los países de la Unión Europea, aunque deja abierta la posibilidad a que cada país elabore sus propias leyes.


En esta guía sobre el
R.G.P.D.te explicamos los principales puntos de este reglamento que debes tener en consideración. ¿Nos acompañas? ¡Vamos allá!



Aplicación del RGPD en España


Todas aquellas empresas, entidades públicas o profesionales que manejen datos personales de terceros están
obligados a cumplir el RGPD.


Su adaptación en nuestro país se ha hecho mediante la.


Los pasos a continuar para la
adaptación al RGPDson:


  1. Consentimiento de los clientes
  2. Obligación de informar
  3. Nombrar un Encargado de Protección de Datos (DPD)
  4. Firmar contrato con Encargados del tratamiento
  5. Contrato de confidencialidad con empleados
  6. Registro de actividades de tratamiento
  7. Análisis de riesgos
  8. Notificación de incidentes de seguridad
  9. Evaluación de impacto
  10. Privacidad desde el diseño y por defecto
  11. Página web
  12. Nuevos derechos de los usuarios



¿Qué deben tener en cuenta empresas, entidades públicas o profesionales para poder adaptarse a la norma europea?


Desde su publicación en el
BOEen abril de dos mil dieciseis, las compañías han tenido 2 años para amoldarse al Reglamento General de Protección de Datos
(RGPD). Para ello han debido adaptar la forma de tratar la información de usuarios y clientes del servicio.


Dos de los artículos más importantes de esta ley europea son el 5 y el seis, los cuáles señalan la forma adecuada de tratar datos personales.


El
artículo 5señala que los datos personales se deben intentar forma lícita, leal y transparente. Además, los datos han de ser recogidos con fines ciertos, explícitos y legítimos. El tratamiento de esta información ha de ser conveniente, pertinente y limitada. Los datos deben ser precisos, veraces y actualizados. Por último, no se deben mantener durante más tiempo del necesario para los fines del tratamiento.


Por su parte, el
artículo 6del RGPD establece las bases para la licitud del tratamiento. En este sentido, la normativa considera lícito el tratamiento siempre que se haya logrado en base a las próximas condiciones:


  • Consentimiento del interesado. empresa aplicaciones web /li>
  • Necesarios para la ejecución de un contrato.
  • Para cumplir con obligaciones legales.
  • Su objetivo es proteger derechos fundamentales del interesado.
  • Se trata de datos de interés público.
  • Sin esenciales para que el responsable o un tercero puedan ejercer sus derechos legítimos.

Estos son ciertos requisitos básicos que establece la
Ley RGPD. No obstante, hay muchas otras cuestiones que debes tomar en consideración y que te iremos explicando durante esta guía.



Los Contratos de confidencialidad


Desde la
entrada en vigor del RGPDel tratamiento de los datos personales debe hacerse de manera que se garanticen la confidencialidad de exactamente los mismos. Esto incluye la implantación de mecanismos para evitar el acceso no autorizados a los datos o bien a los equipos empleados para su tratamiento.


El responsable o bien el encargado del tratamiento son los encargados de valorar los posibles riesgos de seguridad, así como de establecer las medidas de seguridad oportunas para asegurar la confidencialidad de los datos



Con Encargados del tratamiento


Los
encargados del tratamientoson los terceros que te prestan algún servicio y, para esto, acceden a
datos personalesque tú manejas, bien de tus clientes o de tus empleados.


Por ejemplo:


  • Gestoría que te lleva los temas fiscales o laborales,
  • Informático que efectúa el mantenimiento de los equipos, etc.

Sí, seguro que tú también tienes terceros a los que cedes datos.


Con esos encargados del tratamiento debes firmar un documento, aquí te dejo el.


Es más que recomendable que comiences a firmar esos contratos con los terceros que te prestan servicios y revises los que ya tienes para asegurarte que cumplen con los requisitos del RGPD.




Con empleados


Si tienes
empleadosya sabes que tienen acceso a toda la información que maneja la empresa. De ahí que debencon el que se evitará que esa información sea revelada a personas no autorizadas.


Igualmente están obligados a observar las
medidas de seguridadimplantadas por la empresa para garantizar la protección de los datos personales.


Comprueba que tienes firmado un contrato de confidencialidad con tus trabajadores



El Registro de actividades


Es un documento en el que debes reflejar el
tipo de datosque manejas y qué cantidad.


Debes incluir cuestiones como:


  • Tipo de
    datos que recoges
  • Finalidad del tratamiento

  • Dónde guardasesos datos
  • Si
    cedes esos datoso efectúas trasferencias fuera de nuestro país
  • Medios de tratamiento

Aquí te explico cómo efectuar un.


Este registro debes
mantenerlo actualizadoporque te lo pueden solicitar en caso de tener alguna inspección por la AEPD


Normalmente deberá constar por escrito si bien también es válido en formato electrónico.



Consentimiento inequívoco


Antes, por el simple hecho de que un cliente del servicio te facilitase sus datos se entendía que te daba su
consentimientopara tratarlos, es lo que lleva por nombre permiso tácito.


Ahora, según el RGPD, tus clientes del servicio deben conceder de forma clara su permiso para que puedas tratar sus datos, esto es, un consentimiento expreso.


Pero, ¿puedo emplear esos datos para cualquier finalidad?


Rotundamente no.


Verifica que dispones del permiso de todos tus clientes antes de tratar sus datos personales


Cuando los datos pretendan emplearse para distintas finalidades, es esencial que consigas el consentimiento para cada una de ellas.


Para conseguir el consentimiento puedes usar casillas, mas el RGPD establece que las casillas premarcadas o bien la simple inacción no constituyen una forma válida de prestar el consentimiento.


Si necesitas actualizar tus métodos para conseguir permiso, te invitamos a visitar nuestra sección con modelos para cumplir el
RGPD en PDF.



Menores


En cuanto alse requieren unas precauciones específicas.



Deber de informar


Antes de pedir datos personales a tus clientes del servicio debes facilitarles información sobre:


  • Identidad y datos de contacto del responsable (esto es, tuyos);
  • Datos identificativos del delegado de protección de datos, en caso de tenerlo;
  • Por qué se solicitan esos datos y para qué los vas a utilizar;
  • Quién tendrá acceso a los datos;
  • Si vas a transferirlos a terceros países;
  • Plazo de conservación de los mismos;
  • Derechos que le corresponden (acceso, rectificación, supresión, limitación, oposición, portabilidad, retirar el permiso y presentar una reclamación frente a la autoridad de control)
  • Si es obligatorio facilitar los datos y consecuencias de no hacerlo;

Esta información debes facilitarla
por escritoe incluirla en el documento donde pidas el consentimiento a los clientes. También en los e mails que les envíes y en el pie de las facturas emitidas a particulares (ya que incluyen sus datos personales).


Asegúrate de incluir toda esta información cuando recojas los datos personales.



Análisis de riesgos


Seguimos… ahora lo que debes de realizar es un análisis del peligros.


Se trata de un
informedonde tendrás en cuenta los riesgos que pueden existir sobre los datos que manejas e intentar que no ocurran.


Una vez realizado este análisis, debes aplicar medidas de seguridad que sean capaces de impedir un ataque informático.


Aquí tienes más información sobre.




Brechas de seguridad


Esto es algo importante.


Según esta normativa europea tienes la obligación de
notificar a los afectados(clientes del servicio o bien empleados) y a la Agencia Española de Protección de Datos las
violaciones de seguridad de los datosque se generen.


Y además en un
plazo de 72 horas.


Todos podemos ser víctimas de un ataque informático. Pero es importante estar prevenido.


¿Y qué hago?


Pues muy fácil.


Debes tener en consideración unas medidas de seguridad como:


  • Guardar los datos que tengas en papel en archivadores bajo llave para evitar que accedan a ellos personas no autorizadas.
  • Si los datos los guardas en sistemas informáticos (ordenadores), debes tener contraseñas para acceder y antivirus.

En en caso de que tengas un ataque informático, si puedes demostrar a la AEPD y a los clientes que estás haciendo todo lo posible para cumplir con la ley, la sanción que te pueden imponer será menor.



Evaluación de Impacto


A ver cómo te explico esto.


Cuando el tratamiento de datos previsto entrañe un alto peligro para los derechos y libertades de los clientes del servicio, debes realizar una.


Se trata de un informe donde se señalan los peligros detectados sobre la protección de esos datos y las medidas precisas para suprimirlos o reducirlos.


¿Y en qué casos hay un peligro alto?


Se consideran factores de riesgo:


  • tratamiento de datos de
    personas vulnerables(por ejemplo, menores)
  • tratamiento de datos sensibles (de salud, por ejemplo)

  • elaboración de perfilesde comportamiento (para determinar gustos o preferencias de clientes del servicio) y
  • uso de
    tecnologías innovadoras(control de accesos con huella digital, por ejemplo) .

¿Estás en alguno de esos casos?


Revisa el tipo o el volumen de datos que tratas para ver si precisas hacer esa Evaluación de impacto.



La Privacidad desde el diseño y por defecto


Este es otro de los términos difíciles que establece el RGPD.


Intentaré explicártelo de forma sencilla.


La privacidad desde el diseño y por defecto supone que, antes de empezar un tratamiento de datos, debes tener en cuenta cómo vas a resguardarlos.


Es necesario adoptar medidas que garanticen que:


Esto se traduce en una serie de obligaciones como tener claro qué puedes manejar y qué medidas debes aplicar para resguardarlos.



Página web


Si ofreces los servicios a través de una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:



Aviso legal


Este es elde la página web.


En él debes incluir:


  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email

Es obligatorio que exista un enlace perceptible a este texto desde cualquier página de la web.



Política de privacidad


Es esencial comprobar la política de privacidad de la página web y hacer una versión de esta más extensa, que incluya más información sobre el tratamiento de los datos.


  • ¿Dónde se emplean esos datos?
  • ¿Dispones del permiso de los usuarios?
  • ¿Se tratan con fines comerciales?
  • ¿Se realizan cesiones a terceros o bien trasferencias internacionales?

En en el caso de que en la web exista un formulario donde pidas datos personales, tendrás que informar expresamente de:



  • Que efectúas un tratamientode los datos que se le están solicitando

  • Propósito

  • Destinatariosde aquella información
  • Identidad y dirección delde los datos
  • derecho a ejercer sus derechos de acceso, rectificación, cancelación y oposición y de qué forma.

Todos esos detalles deberán ser parte de la política de privacidad. Una vez actualizada, debes cerciorarte de que esta nueva versión se publique en la página web.



Política de cookies


Las cookies son archivos de información que se envían por una página web y y se guardan en el navegador del usuario que visita esa web. crear tienda online barcelona visitas a nuestra página web o bien mostrar publicidad dinámica.


Si en tu página posicionamiento web seo y sem sevilla de esto, estás obligado a.


La regla que regula las cookies es la propia LSSI.


En ese texto debe informarse sobre:


  • Cookies utilizadas en la página
  • Su finalidad
  • Duración

Te dejo un link a una página donde puedes analizar las cookies que emplea tu web.



Los Nuevos derechos de RGPD


Estos son los derechos que tienen los clientes del servicio y usuarios respecto a sus datos personales.


¿Y en qué me afectan?


Pues te afectan por el hecho de que tienes que garantizarles que puedan ejercerlos y darles una contestación en caso de que lo hagan.


El Reglamento europeo de Protección de Datos prosigue reconociendo los:


  • Acceso
  • Rectificación
  • Cancelación
  • Oposición

Y se añaden otros derechos específicos como:


Debes cerciorarte de que puedes contestar apropiadamente a las peticiones que puedas recibir de tus clientes



El Encargado de Protección de Datos


El RGPD introduce una nueva figura: el(
DPO).


Digamos que el
DPO o bien DPDes aquella persona que va a inspeccionar el cumplimiento de la normativa de protección de datos y ha aconsejarte en cualquier cuestión relacionada con esta materia. También el que, en caso de inspección de la AEPD, actuará de intercesor.


Sólo algunas.


En específico, será obligatorio contar con un
Delegado de Protección de Datosen los siguientes casos:


  • Si el responsable o bien encargado del tratamiento es un organismo público, con la excepción de los tribunales que los usen para el ejercicio de sus funciones.
  • Actuaciones llevadas a cabo por responsables o encargados del tratamiento que requieren la observación continua y sistemática de datos a gran escala
  • Actividades de tratamiento que requieren el tratamiento de categorías especiales de datos a gran escala.


Verifica si cumples con las primordiales obligaciones del R.G.P.D.


El cumplimiento de las normativas sobre protección de datos (
LOPD y RGPD) es imprescindible para todas las empresas. Pero, ¿cómo verificar si te has adaptado bien a las nuevas demandas de la ley? Te damos algunas de las claves a tomar en consideración.



Identifica la base jurídica de los tratamientos que se realizan


Uno de los primeros pasos a dar en el cumplimiento del
RGPD en empresases identificar la base jurídica que justifica el tratamiento de datos. Será lícita en los siguientes casos:


  • Se ha conseguido permiso.
  • Existe una relación contractual.
  • Se refieren a derechos fundamentales del interesado o terceras personas.
  • Su tratamiento es una obligación legal para el responsable.
  • Son datos de interés público.
  • Son indispensables para el ejercicio de poderes públicos.
  • Intereses legítimos del responsable o bien de terceros, que predominan sobre los derechos de la persona objeto del tratamiento.

Si has obtenido los datos conforme a alguna de estas bases legales, estás en tu derecho para tratarlos. En caso contrario, estarás cometiendo una irregularidad.



Chequea el suministro de información a los interesados


El
RGPD UEobliga a los responsables a informar a los interesados sobre las condiciones del tratamiento, así como de las vías para ejercer sus derechos ARCO. Esta información se debe proporcionar de forma
concisa y también inteligible, con un lenguaje claro, transparente y en un medio de fácil acceso.


Para ello, se aconseja eludir los textos farragosos y difíciles de comprender, o bien las fórmulas que remiten al usuario a los textos legales.


También es aconsejable ir al grano, informar de manera inmediata sobre el contenido al que se refieren, sin dar rodeos o bien hablar de temas accesorios.


La explicación debe ser lo más
clara y accesibleposible, facilitando que sea comprensible para cualquier persona, con independencia de sus conocimiento sobre protección de datos.


La información básica que se debe administrar a los interesados es la siguiente:


  • Base jurídica del tratamiento (ver punto precedente).
  • Datos del Encargado de Protección de Datos o bien DPO (si lo hubiera).
  • Intención de realizar un tratamiento de datos internacionalmente.
  • Elaboración de perfiles.


Establece un registro actualizado de actividades de tratamiento


Las obligaciones del
RGPD en protección de datostambién prevé el registro de las actividades del tratamiento. Para cumplir con esta exigencia toda empresa debería contar con un registro actualizado en el que figure la próxima información:


  • Identidad del responsable o bien encargado del tratamiento, y del DPO si lo hubiese.
  • Finalidad del tratamiento.
  • Separación por categorías de los datos personales tratados y de las personas objetivo del tratamiento (por ejemplo, diferentes archivos con proveedores, clientes, videovigilancia, etc).
  • Transferencias de datos internacionales.

Las empresas con menos de doscientos cincuenta trabajadores no están obligadas a llevar un
registro del tratamiento, a menos que supongan un riesgo para los interesados.



Prevé el ejercicio de derechos de los interesados


Ten en cuenta que el RGPD establece que los interesados deben poder ejercer sus
derechos(acceso, rectificación, cancelación, oposición, supresión, portabilidad) sencillamente. Esto es, como responsable debes administrar mecanismos perceptibles y fácilmente accesibles.


Además, debes asegurar que la persona ejercite sus derechos a través de
medios electrónicos, especialmente si el tratamiento se ha efectuado por estos medios.


No olvides que el ejercicio de estos derechos ha de ser totalmente
gratuito. Solo existen algunos casos en los que se puede cobrar una tasa al interesado:


  • Si las peticiones son excesivas o inmotivadas.
  • En en el caso de que las solicitudes sean constantes y supongan un costo administrativo elevado para el responsable.

Por otro lado, debes informar al interesado de las decisiones que vas a tomar, y argumentar tu contestación en caso de negativa. Todo ello en un plazo máximo de
un mesdesde la solicitud.



Cuenta con las medidas de seguridad que garanticen la integridad de la información


Tal y como señala el Reglamento General de Protección de Datos, los responsables y encargados del tratamiento deben establecer las
medidas técnicas y organizativasnecesarias para asegurar la
seguridad de los datos.


Debes realizar una investigación previo que determine los riesgos existentes. Basándonos en ello podrás establecer medidas basándonos en diferentes criterios:


  • Coste de los medios técnicos.
  • Coste de su implantación.
  • Naturaleza de los datos, diseño web precio finalidad del tratamiento.
  • Riesgos que supone para los derechos y libertades del individuo.

En caso de producirse una violación en la seguridad de los datos debes
notificar a la autoridad competenteen un plazo máximo de 72 horas desde que se generó la brecha de seguridad.


La información que debes presentar a las autoridades de seguridad y control es:


  • Naturaleza o bien características de la violación de seguridad
  • Categorías de datos perjudicados.
  • Interesados perjudicados.
  • Medidas que has adoptado para solventar la situación.
  • Medidas que has adoptado para mitigar las posibles consecuencias de la brecha de seguridad en los interesados.


Comprueba las relaciones con los prestadores de servicios de protección de datos


Si los datos de tus clientes del servicio son manejados por un prestador de servicios, debes tomar en consideración una serie de cuestiones.


El RGPD define al
encargado de protección de datoscomo la persona física o bien jurídica encargada de procesar la información personal de los interesados en nombre de un responsable.


Es decir, el encargado realizará el tratamiento de los datos en tu nombre.


OK, mas tú eres el
responsable.


Es importante
firmar un contratoen el que se determinen las pautas a proseguir. El encargado del tratamiento solo puede procesar los datos en base a las instrucciones fijadas por contrato.


Por tanto, establecer unas bases sólidas en el contrato puede servir para exonerar de responsabilidades al responsable en el caso de que el encargado haya cometido alguna irregularidad o no haya actuado según lo pactado.



Infracciones y sanciones por incumplimiento del Reglamento Europeo de Protección de Datos


En el Reglamento General de Protección de Datos se establece uncon esenciales sanciones económicas, pudiendo alcanzar incluso el cuatro por cien del volumen anual de facturación de una compañía o los
20 millones de eurosen los casos más graves.


Por eso no debemos tomárnoslo a gracieta.


Además de las sanciones económicas, el nuevo RGPD prevé tres medidas adicionales:


  • Advertencia.
  • Amonestación.
  • Suspensión del tratamiento de datos.

La autoridad competente para la imposición de sanciones será la Agencia Española de Protección de Datos (AEPD).


Otra novedad fundamental es la posibilidad de que el perjudicado pueda pedir una indemnización, algo que no contemplaba la precedente LOPD.



No existen exclusiones ni excepcionespara los autónomos o pequeñas empresas.


Así que ponte las pilas.


Y empieza lo antes posible la adaptación a la Ley de Protección de Datos.


¿Necesitas cumplir el RGPD?



Ejemplos de multas a empresas, desde su implantación el veinticinco de mayo de 2018


La misma Agencia de Protección de Datos te lo pone fácil para amoldarte a la normativa gracias a su herramienta
Facilita RGPD. A pesar de ello, no son pocas las empresas que han caído en irregularidades y que se han llevado sanciones por no cumplir el RGPD.


Una de las que ya ha sufrido estas consecuencias es la todopoderosa
Google, que en 2019 se llevaba una multa de 50 millones de euros por la parte de la autoridad francesa de protección de datos. ¿El motivo? Que la información facilitada a los usuarios no era fácilmente accesible ni sencilla de comprender.


Otra de las mayores sanciones es la que se le ha impuesto en Alemania a la inmobiliaria
Deutsche Wohnen. Ni más ni menos que 14,5 millones de euros tuvo que pagar por no respetar el plazo de conservación y guardar los datos de clientes durante más tiempo del preciso.


Mayo es todavía la sanción que recibió la cadena hotelera
Marriott, a raíz de una vulnerabilidad en su sistema que expuso los datos de tarjetas de crédito de prácticamente nueve millones de clientes del servicio. La multa que le impuso la Oficina del Comisionado de Información de Reino Unido fue de ciento diez millones de euros.


Sin embargo, la que se lleva la palma es la sanción de doscientos cuatro millones de dólares que la autoridad de protección de datos del R. Unido impuso a
British Airwaysdespués de que el conjunto hacker Magecart le lograra hurtar datos de más de 500.000 clientes del servicio.


Estas multas millonarias son un ejemplo de lo grave que puede ser una infracción del Reglamento General de Protección de Datos. ¿A qué esperas para ponerte al día y cumplir la normativa?

Powered by BookLikes © 2015 | RSS